时间:2023-10-13 16:13:57
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇征信信息安全管理,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】个人信用体系 信息安全 监督
一、我国征信业及个人信用体系建设发展现状
我国的征信业及个人信用体系发展起步较晚,党的十六大首次提出“整顿和规范市场经济秩序,健全现代市场经济的社会信用体系”的战略目标和任务。但征信业及个人信用体系建设速度较快,并取得一系列成就。《征信业管理条例》、《征信机构管理办法》等法规规章相继出台。同时,央行在2006年完成个人与企业两大征信系统建设,并实现全国联网运行。截止2012年,这两套系统累计为超过1859.6万户企业、其他组织和8.2亿自然人建立了信用档案。此外,我国已有27所高校开设信用管理专业,专门培养征信管理人才。并且人社部于2005年开设了“信用管理师”的职业资格认定,为征信行业提供人才培训指导和职业资格认定。征信业及个人信用体系发展呈现欣欣向荣之势。
二、当前个人信用体系建设面临的问题及风险
任何一项新的事物在发展初期都会面临许多问题,征信业和个人信用体系也不外如是。尽管取得了不错的成绩,但征信业和个人信用体系的发展仍面临不少问题和风险,突出的表现在:
首先,征信业和个人信用体系建设的外部环境并不理想。尽管目前制定了一系列的关于个人信用体系建设的法规和规章,但最重要的法律层面的《个人信息保护法》仍迟迟未出。同时,一些法规、规章等条文过粗,缺乏可操作性。与此同时,政府公权力的滥用也让人担心信用管理的公正性,如江苏睢宁将上访纳入信用扣分项目,明显是以政府管理指标取代信用评级指标。此外,社会信用意识的缺乏也是征信业和个人信用体系发展受挫的重要原因。
其次,征信业和个人信用体系自身建设存在问题和风险。在问题方面,主要存在信息采集过窄(主要是信贷信息)、未能实现有限信息共享、信用信息服务产品单一等,而在风险方面,则主要存在个人信息安全风险以及信息失真或虚假信息风险等。
最后,征信管理人才建设滞后于征信业发展需求。尽管政府和相关部门已经开始着手加快征信管理人才建设,但仍滞后于征信业的发展需求,据估计我国信用管理人才缺口近百万。一方面,开设信用管理专业的高校过少,直接影响信用管理人才的供给。另一方面,对于信用管理人员并未建立其强制性的执业资格准入制度和后期培训制度,也导致信用管理人员鱼龙混杂,水平参差不齐。
三、加强我国个人信用体系建设的建议
(一)完善征信业和个人信用体系外部环境建设
首先,国家应加快个人信用立法建设,尽快从法律层面解决个人信用体系建设上位法“缺席”的情况,完善个人信用建设的法律体系。同时,应出台配套法律、法规的实施细则,并细化细则条文内容,增强条文的实践性和操作性。其次,国家应尽快建立统一的个人信用评价标准和相关评价流程,规范个人信用信息的搜集、整理、分析、评价、使用、存储等相关活动。在个人信用体系建设上,政府和职能部门应处于公立的监督者的地位,而避免公权力干预下的行为扭曲。最后,应加强征信和个人信用体系宣传。个人信用体系的建设离不开民众的支持和配合,应在宣传中突出信用管理为客户增加价值的内容及强调信息安全保护的防范措施,打消民众的顾虑,增强民众的配合程度,提高全社会信用自我管理的意识。
(二)创新信用管理,丰富信用服务产品和内容
首先,应完善信用管理的整体框架和体系,在现有信用管理市场的基础上,建立起信用登记、信用调查、信用评级、信用咨询、信用监督、信用保险等多层次的信用市场体系,多方位满足市场需求。在个人信用上,应逐渐从商业信贷信用发展到社会综合信用。其次,丰富信息服务产品,加快信息资源共享。目前个人信用信息服务还主要局限在个人消费、信贷等方面,未来应在扩大信用信息采集的基础上,丰富个人信息服务产品,如提供个人信用咨询、信用规划、信用风险管理服务等。最后,加快新技术应用,加强信息安全管理。在信息安全管理上,应按照相应标准科学制定出信息搜集、整理、存储、使用等信息提供和使用者的权限范围,严格高等级信息权限的授予与管理。同时,企业自身应提高职业道德意识和规范信息管理流程,职能部门也应加强监督和管理。
(三)加快征信管理人才队伍建设
首先,教育部应会同央行、财政部、银监会等职能部门,在研究和吸取国外相关大学专业设置的基础上,科学制定符合我国实际的信用管理人才培养标准,先行鼓励和引导有条件的高校根据市场情况开设信用管理等相关专业,加强人才供给。培养过程中可考虑同部分银行信用管理部门建立实训基地。其次,建立执业资格准入制度,发展征信管理培训市场。人社部应会同财务部、央行等职能部门加快出台相关执业资格考试和相关后续管理和培训教育制度,完善对征信管理人才市场的监管,提高征信管理人才整体质量。同时,应鼓励和发展征信管理培训市场,细分培训市场,鼓励和培养几个有影响力的信用管理培训品牌。培训机构自身也应通过加强基础建设、引进优质师资、个性化办学等提高培训质量,丰富信用管理培训服务内容。
四、结论
市场经济就是信用经济,个人信用体系是市场经济体制中的重要一环。政府、企业和社会都应提高信用意识,多方协同,共同推动个人信用体系又好又快发展。
参考文献
【关键词】信息系统 身份鉴别 漏洞扫描 信息安全管理体系(ISMS)
近年来,“Locky勒索软件变种”、““水牢漏洞””、“支付宝实名认证信息漏洞”、“京东12G用户数据泄露”、“700元买他人隐私信息”等信息安全事件层出不穷,引起各国领导的重视和社会关注。为提高网络安全和互联网治理,2014年,我国成立了以主席为最高领导的信息安全管理机构-中央网信办;2016年11月,在中国乌镇举行了《第三届世界互联网大会》。通过一系列的行为,为求现有的网络系统能够提高安全能力,为广大社会群众提供服务的同时,能够保证人民的利益。
信息系统是由硬件、软件、信息、规章制度等组成,主要以处理信息流为主,信息系统的网络安全备受关注。企业在应对外部攻击,安全风险的同时,当务之急是建立一套完整的信息安全管理体系。在统一的体系管控下,分布实施,开展各项安全工作。
目前,大多数企业的信息安全工作比较单一,主要是部署安全防护设备,进行简单的配置。信息安全工作不全面,安全管理相对薄弱,不足以抵抗来自外部的威胁。
1 信息安全问题
1.1 身份鉴别不严格
考虑到方便记忆和频繁的登录操作,企业普遍存在管理员账号简单或者直接采用系统的默认账号现象,并且基本不设定管理员的权限,默认使用最大权限。一旦攻击者通过猜测或其他手段获得管理员账号,攻击者如入无人之境,可以任意妄为。最终可造成数据泄露,系统瘫痪等不可估量的严重后果。注重信息安全的企业会修改默认管理员账号,设定较为复杂的口令,并定期进行口令更换。但是也仅仅使用一种身份鉴别技术,不足以抵抗外部攻击。
1.2 外部攻击,层出不穷
随着计算机技术的发展,信息系统的外部攻簦层出不穷。攻击者利用网络系统的漏洞和缺陷,攻击系统软件、硬件和数据,进行非法操作,造成系统瘫痪或者数据丢失。 目前主要存在的攻击手段包括扫描技术、邮件
攻击、拒绝服务攻击、口令攻击、恶意程序等等;入侵常用的步骤包括采用漏洞扫描工具进行扫描、选择合适的方式入侵、获取系统的一定权限、提升为系统最高权限、安装系统后门、获取敏感信息或者其他攻击目的。攻击者会根据系统特性和网络结构采取不同的手段对网络进行攻击,如果不采取相应的防御手段,很容易被黑客攻击,造成损失。
1.3 员工安全意识薄弱
很多互联网企业的员工缺乏信息安全意识,存在离开办公电脑时不锁屏现象;将重要客户信息、合同等敏感材料放在办公桌上或者不及时取走打印机房内的材料;优盘未经杀毒直接连接公司电脑;随意点击不明邮件的链接;更有员工将系统账号、密码粘贴在办公桌上;在系统建设阶段,大到管理者,小到开发人员、测试人员,均注重技术实现和业务要求,而忽略了系统的安全和管理。由于员工的信息安全意识较为薄弱,很容易造成公司信息泄露,进而导致公司的损失。
1.4 内部管理制度不完善
俗话说,“不以规矩,不能成方圆”。未形成全面的信息安全管理制度体系,缺失部分安全策略、管理制度、操作规程,可能导致信息安全管理制度体系存在疏漏,部分管理内容无法有效实施。使相关工作过程缺乏规范依据和质量保障,进而影响到信息系统的安全建设和安全运维。比如在软件开发过程中,开发人员会因为各种原因而忽略安全开发(存在开发人员没有意识到代码安全开发的问题;有些开发人员不愿意使用边界检查,怕影响系统的效率和性能;当然也存在许多遗留代码存在问题的现象,从而导致二次开发同样产生问题),可能导致系统存在后门,被黑客攻击。
2 防范措施
企业需依据《信息安全等级保护管理办法(公通字[2007]43号)》、《中华人民共和国网络安全法》》、《ISO/IEC 27001》等标准和法律法规进行信息系统安全建设工作。测评机构在网安的要求下,对企业信息系统的安全进行测评,并出具相应测评结果。根据测评结果和整改建议,采用相应的技术手段(安全认证、入侵检测、漏洞扫描、监控管理、数据备份与加密等)和管理措施(安全团队、教育与培训、管理体系等)对信息系统进行整改。如图1所示。
2.1 技术手段
2.1.1 安全认证
身份鉴别是指在计算机系统中确认执行者身份的过程,以确定该用户是否具有访问某种资源的权限,防止非法用户访问系统资源,保障合法用户访问授权的信息系统。凡登录系统的用户,均需进行身份鉴别和标识,且标识需具有唯一性。用户身份鉴别机制一般分为用户知道的信息、用户持有的信息、用户生物特征信息三种。针对不同鉴别机制,常用的鉴别技术(认证技术)如表1所示。
不同的认证技术,在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等级较高,但会遇到各种问题,导致便捷性较差(比如存在软硬件适配性问题,移动终端无USB口等)。一般认为在相同的便捷性前提下,选择安全等级较高的认证技术。针对重要系统应采用双因子认证技术。
2.1.2 入侵检测
入侵检测能够依据安全策略,对网络和系统进行监视,发现各种攻击行为,能够实时保护内部攻击、外部攻击和误操作的情况,保证信息系统网络资源的安全。入侵检测系统(IDS)是一个旁路监听设备,需要部署在网络内部。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,从而掌控整个信息系统安全状况。
2.1.3 漏洞扫描
漏洞扫描是指基于漏洞数据库,通过扫描等手段对目标系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测行为。常见的漏洞扫描类型主要包括系统安全隐患扫描、应用安全隐患扫描、数据库安全配置隐患扫描等。系统安全隐患扫描根据扫描方式的不同,分为基于网络的和基于主机的系统安全扫描,可以发现系统存在的安全漏洞、安全配置隐患、弱口令、服务和端口等。应用安全隐患扫描可以扫描出Web应用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、第三方软件等大部分漏洞。数据库安全配置隐患扫描可以检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。
漏洞扫描主要用于评估主机操作系统、网络和安全设备操作系统、数据库以及应用平台软件的安全情况,它能有效避免黑客攻击行为,做到防患于未然。
2.1.4 监控管理
网络监控主要包括上网监控和内网监控两部分。目前市场上已做的完整监控软件已包含上述功能。网络监控需结合网络拓扑,在网络关键点接入监控工具监测当前网络数据流量,分析可疑信息流,通过截包解码分析的方式验证系统数据传输的安全。例如Solarwinds网络监控平台,它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance (IP SLA) 、IP Address Management、Network Configuration Management、Application Performance Monitoring等。可以执行全面的带宽性能监控和故障管理;可以分析网络流量;可以对服务器上运行的服务和进程进行自动监控,并在故障发生时及时告警;可对VOIP的相关参数进行监控;可以通过直观的网络控制台管理整个IP架构;可快速检测、诊断及解决虚拟化环境的网络性能;强大的应用程序监视、告警、报告功能等。
2.1.5 数据备份与加密
企业高度重视业务信息、系统数据和软件系统。数据在存储时应加密存储,防止黑客攻击系统,轻易获得敏感数据,造成公司的重大经济损失。常用的加密算法包括对称加密(DES、AES)和不对称加密算法(RSA)。密码技术不仅可以防止信息泄露,同时可以保证信息的完整性和不可抵赖性。例如现在比较成熟的哈希算法、数字签名、数字证书等。
除了对数据进行加密存储外,由于存在数据丢失、系统断电、机房着火等意外,需对系统数据进行备份。按照备份环境,备份分为本地备份和异地备份;按照备份数据量的多少,备份分为全备、增备、差分备份和按需备份。各企业需根据自己的业务要求和实际情况,选取合适的备份方式进行备份。理想的备份是综合了软件数据备份和硬件冗余设计。
2.2 管理措施
2.2.1 安全团队
企业应设立能够统一指挥、协调有序、组织有力的专业的安全管理团队负责信息安全工作,该团队包括信息安全委员会,信息安全部门及其成员。安全部门负责人除了具备极强的业务处理能力,还需要有管理能力、沟通能力、应变能力。目前安全团队的从业人员数量在逐渐增加,话语权在增多,肩上的担子也越来越大。安全团队需要定好自己的位,多检查少运维,多帮企业解决问题。即安全团队修路,各部门在上面跑自己的需求。
2.2.2 教育c培训
保护企业信息安全,未雨绸缪比亡羊补牢要强。培养企业信息安全意识文化,树立员工信息安全责任心,是解决企业信息安全的关键手段之一。企业的竞争实际上是人才的竞争,除了定期进行技能培训外,还需对员工的安全意识进行教育和培训。信息安全团队应制定信息安全意识教育和培训计划,包括但不限于在线、邮件、海报(标语)、视频、专场、外培等形式。通过对员工的安全意识教育,能从内部预防企业安全事件的发生,提高企业的安全保障能力。
2.2.3 管理体系
随着计算机攻击技术的不断提高,攻击事件越来越多,且存在部分攻击来自公司组织内部。单靠个人的力量已无法保障信息系统的安全。因此,企业需建立自上而下的信息安全管理体系(ISMS, Information Security Management System),以达到分工明确,职责清晰,安全开发,可靠运维。安全管理制度作为安全管理体系的纲领性文件,在信息系统的整个生命周期中起着至关重要的作用。不同机构在建立与完善信息安全管理体系时,可根据自身情况,采取不同的方法,一般经过PDCA四个基本阶段(Plan:策划与准备;Do文件的编制;Check运行;Action审核、评审和持续改进)。可依据ISO27000,信息安全等级保护等,从制度、安全机构、人员、系统建设和系统运维5个方面去制定信息安全管理体系。通常,信息安全管理体系主要由总体方针和政策、安全管理制度、日常操作规程和记录文档组成,如图2所示。
3 结语
国家不断加强对各个互联网企业、金融、银行等的信息安全工作监督,通过ISO27000、信息安全等级保护测评、电子银行评估、互联网网站专项安全测评等方式,规范企业的信息安全建设工作。同样,信息安全工作长期面临挑战,不能一蹴而就,需要相关安全工作人员戮力同心、同舟共济、相互扶持、携手共建信息安全的共同体。
参考文献
[1]沈昌祥,张焕国,冯登国等.信息安全综述[J].中国科学杂志社,2007(37):129-150.
[2]李嘉,蔡立志,张春柳等.信息系统安全等级保护测评实践[M].哈尔滨工程大学出版社,2016(01).
[3]蒋欣.计算机网络战防御技术分析[J].指挥控制与仿真,2006(08),28-4.
作者简介
康玉婷(1988-),女,上海市人。硕士学位。现为信息安全等级测评师、初级工程师。主要研究方向为信息安全。
作者单位
廊坊市自2009年设立第1家村镇银行以来,目前已发展到5家,且均已开设了分支机构。另外还有5家新设村镇银行已进入筹备阶段。从科技方面看,不但没有专职科技部门,而且所谓的专职科技人员仅10人,占比不到4%。目前村镇银行的业务系统基本都是依托发起行和行来运行,各项规章制度都是照抄照搬发起行,缺乏具有自己行针对性的内控制度,有些村镇银行新设立的分支机构由于在农村条件有限,不具备双运营商线路备份的条件。
二、网络及信息安全管理存在的问题
(一)制度建设薄弱,安全意识有待提高。村镇银行由于成立时间短,急于开展存贷款业务,因而还没有建立起一套系统的、行之有效的网络及信息安全管理制度。如部分村镇银行没有结合自身实际制订制度,仅将发起行的信息安全规章制度改头换面,难以对信息安全管理进行有效约束,个别村镇银行连最基本的机房出入登记、应急演练记录都没有。即使制度制订较为完善的村镇银行也未能严格按照《商业银行信息科技风险管理指引》、《村镇银行信息科技建设与管理指引》的要求进行规范,反映出村镇银行普遍存在注重追求业务拓展而忽视制度建设与执行,信息安全意识不强的问题。
(二)未设立专职科技部门,兼职科技人员自身水平不高。村镇银行都没有设置专职的科技部门,从最初机房建设到后来发展分支机构,科技工作均是由发起行派科技人员实施和管理。从人员素质看,10名科技专管员中,计算机专业人员仅占5%,大部分专管员难以胜任科技工作。此外,各家村镇银行所谓的专职科技专管员实际上都是身兼数职,而且流动性大,更换频繁,不利于信息安全工作的开展。
(三)网络线路繁多,资源浪费严重。目前每个村镇银行需要硬性接入的网络线路为7到10条不等,比如人民银行省会中心支行城市金融网、地市中心支行城市金融网、发起行网络、行网络等,此外还要与银监局、下属支行互通,按照网络双线路备份的要求,一个村镇银行总行机房的网络线路达到近20条,不但给本来就不大的机房增添了不少负担,而且繁多的网络线路不便于日常管理,存在安全隐患。同时,一个村镇银行每年在网络线路上的花费均在30万元以上,高额的支出也给本来规模就不大的村镇银行增加了财务负担。
(四)过度依赖业务外包,不利于内部风险控制。廊坊辖内村镇银行业务系统升级改造由发起行来实施,发起行能否长期提供免费系统升级支持且升级是否及时,值得引起重视。日常设备维护、巡检基本由第三方IT外包服务公司来做。由于廊坊本地没有外包服务公司,出现问题不但不能第一时间进行维护,更为重要的是信息系统和数据的安全性无法保障,存在泄漏重要信息的可能。
(五)机房环境普遍不达标,存在安全隐患。按照《村镇银行信息科技建设与管理指引》,村镇银行要达到B级机房标准,而廊坊市的村镇银行机房环境设施过于简单,与指引相差甚远。主要表现:一是面积过小不能实现机房分区操作;二是装修没有达到国际有关要求;三是空调设备和供电未达到冗余要求。这不但对今后机房设备的拓展存在影响,而且存在一定的安全隐患。
三、相关建议
(一)加强科技制度建设和落实。人民银行应严格按照《商业银行信息科技风险管理指引》、《村镇银行信息科技建设与管理指引》,要求村镇银行针对自身实际,制定切实可行的科技管理制度。科技部门要加强对村镇银行的执法检查,评估科技管理制度的实用性和有效性,强化村镇银行科技制度建设和制度落实,切实提高信息安全意识。
(二)加强科技人员管理。每个村镇银行及其分支机构都必须设立至少一名科技专管员专司网络及信息安全管理工作,科技专管员要具有计算机专业学历,严禁非专业人员为应付监管部门检查而从事科技管理工作,现没有专业人员的要通过公开招聘尽快解决。要减少科技专管员兼职,有条件的机构应设立科技部门。
(三)建议全省村镇银行参照农村信用社的方式统一管理。由于村镇银行科技力量薄弱,没有能力自行开展信息化建设,而搭建独立的核心业务系统,需要投入较多的人力和财力,短期来说困难重重。农村信用社也为独立法人,与村镇银行类似,由省联社统一开发业务系统后各独立法人机构接入。建议村镇银行也采取此方式,在省一级成立公司,全省村镇银行业务系统以及人民银行相关系统的接入,系统升级和改造也由公司完成。采用此方式可以规范村镇银行的接入标准,减少对发起行或行的技术依赖,最重要的是通过整合可以节省人民银行网络资源,减少村镇银行的网络线路,节约经费。
(四)以人民银行地市中支为节点一点接入。目前,村镇银行接入需直接由所在地连到省里,建议以人民银行地市中支为节点,村镇银行通过地市中心支行接入。随着担保公司、小额贷款公司通过接入征信系统逐渐提上日程,越来越多的金融机构需要接入,省网络资源会越来越紧张,以地市中支为节点接入可以有效分担省里压力。与此同时,以从廊坊到石家庄单条线路月租费5000元计算,仅网络租用费每年就可以为村镇银行节约10多万元。
(五)规范外包服务公司资质。由于村镇银行涉及资金往来,对外部人员的管理需要更加严格,而IT行业是人员流动很快的行业,建议确定外包服务公司资质标准,对现实用外包服务公司进行评定,指定统一符合条件的外包服务公司进行服务,此举可以有效避免泄密及失窃风险。
关键词:电子商务信用保障 原因分析 解决途径
一、我国中小企业电子商务信用保障体系发展瓶颈的原因分析
1.诚信基础薄弱。我国诚信基础薄弱,导致电子商务交易社会信任度低。由于我国长期的“重商主义”影响,导致一些传统的社会诚信道德与伦理的缺失。现实社会中,假冒伪劣商品肆虐、虚假广告泛滥、合同履约率低、经理人缺少诚信、信用卡诈骗、对欠债追讨不力等诚信问题每天见于报端,几乎成了普遍现象;而电子商务作为不见面的交易模式,使得众多中小企业电子商务难以得到消费者的认同。同时,正因为这种不见面的交易模式,使得某些中小企业只注重短期效益,抱着“捞一把就走”的心态经营网站,结果在商品质量、物流配送和售后服务等方面很难让消费者满意,甚至欺骗消费者,这严重损害了电子商务的健康发展。
2.信用法律机制不健全。近年来,我国的信用法律体系建设已经初见成效,但这些信用信息基本处于相对封闭状态,人们很难利用,甚至有时不得不对信用信息本身持怀疑态度,这就为少数人、少数用户、少数企业说谎、失信、欺骗、诈骗提供了可趁之机。在市场经济条件下,诚信与法制是相互补充、相互支持的。健全的法制体系是诚信规范的前提和基础,能够为诚信体系的建立和有效运行提供有力的保障,总体看,我国虽然在法制保障诚信规范方面做了一些工作,但相对于迅猛发展的电子商务仍显滞后。虽然国家已经颁布了《中华人民共和国电子签名法》以及商务部《关于促进电子商务规范发展的意见》等,然而,电子商务的发展需要更多更完善的法律规范以及强有力的执法力度,目前实施的法律规范显然不足以完全解决阻碍电子商务发展的信用问题。
3.部分中小企业自身素质不高,电子商务信用意识淡薄。对于任何企业乃至一个国家,信用都是一种稀缺资源,是支撑电子商务发展的重要保障。我国的市场经济是由计划经济脱胎而来,社会信用经济发育较晚,市场信用交易不发达,社会普遍缺乏在新经济条件下的信用意识和信用道德规范。很多企业与个人对于信用的重要性缺乏应有的认识,“无商不奸”的观念在他们的思想中根深蒂固,认为企业不讲信用照样可以生存和发展,社会上信用缺失现象非常普遍,这种观念意识无疑制约了我国电子商务信用状况的改善,必将对电子商务秩序造成巨大的破坏,新经济难以健康运转。
4.中小企业电子商务信用缺乏统一管理。对参与电子商务的中小企业没有建立详细的信用档案,应以集中、统一、规范的形式或标识反映中小企业网站的资信与交易记录等信息,如企业的基本资料、经济信用资料、客户评价等。同时,由于现有第三方信用评价机构对参与电子商务交易的中小企业,因利益关系而导致资格评审不把关,身份认证不到位,信用档案不完善,以至于造成虚假网站、虚假商品信息等的不断出现,让消费者面对挂着所谓的”可信”标志的网站而云里雾里。
二、我国中小企业电子商务信用保障体系发展瓶颈的解决途径
完善网络购物环境,推动电子商务发展,当务之急是解决电子商务信用保障体系发展的瓶颈问题,促进我国中小企业电子商务的健康发展。首先,政府的引导与规范以及分类监管是必不可少的。第二是媒体和广大的消费者以及各类的服务支撑机构、金融机构的监督。第三则是第三方信用服务机构,能够有效的遏制诈骗现象的发生,从消费者角度来说,也更相信与交易方没有任何利益往来的第三方的审查评价。第四是中小企业的自律和推崇诚信,诚信不仅仅是一种声誉更是一种财富,尤其是对于中小企业,电子商务的诚信建设更加重中之重。具体有以下几个途径:
1.进一步完善电子商务信用保障体系
要尽快在电子商务信用方面进行立法,明确电子商务交易双方、电子商务服务提供商的权利和义务,以及工商部门、工信部门、商务部门、公安部门、银行等相关机构的职责,加强对中小企业的信用管理。扶持独立的第三方信用服务机构,鼓励社会化服务机构开展个人征信、企业征信、企业评级、企业信用风险管理、企业及个人征信咨询服务、征信系统设计及开发等业务。建立一个具有高度社会公信力的企业信用查询和监督平台,为电子商务交易活动提供有价值的参考和指引。建立电子商务失信惩戒机制,对有不良信用记录的中小企业予以惩处,视情节轻重处以罚金、停业整顿等;对于影响恶劣的企业法人,规定在若干年内不得注册企业经商。加强行业自律,促进诚信经营。
2.加强电子商务的信息安全建设
信息安全是电子商务顺利发展的基础和动力。要从法律法规、组织管理、信息技术3个层面建立电子商务信息安全保障体系。完善电子商务信息安全方面的法律法规,严厉打击针对电子商务活动的网络犯罪。目前,国内网络犯罪采用的主要手段是信息截取、信息篡改、信息假冒和交易抵赖。为此,电子商务的信息安全体系要满足使用者和数据识别要求,对存储加密数据进行保密,对联网交易支付可靠性提供保证,提供方便的安全管理以及数据完整性校验等。中小企业和电子商务服务提供商要积极应用防火墙、加密、认证以及反病毒技术,消除电子交易过程中的网络安全隐患。对电子商务服务平台要进行信息安全风险评估和等级保护,加强数据和信息系统的灾难备份,以确保用户各类信息的安全。
3.完善中小企业电子商务信用评价体系
按照统一规划、统一发展的原则,尽快建设全国联网的中小企业信用评价体系,实现银行、工商、税务、公安等部门的信息的共享。信用评价体系的运作,在建立和初始阶段,应由政府部门牵头组织以确保其权威性,使得消费者对信息的真实性无需置疑。就我国当前的电子商务环境,我认为易趣的个人积分是一种较为有效的方法,易趣门户网站对每个卖家都有其信用积分,以此来确定该卖家是否能够诚信守约。在设计中小企业信用评价体系时,我们可借鉴易趣的评价指标,综合考虑中小企业资产负债率、资金周转率和净资产收益率等财务分析指标和企业的社会经济状况、行业发展状况、资金人力资源等外部环境指标对企业的信用评分,供消费者自行查询并选择。
4.建立严格的网络销售商和网络运营商的资格认证和准入制度
由网络营运商向销售商收取一定的赔付准备金,建立专门基金,由相关部门进行监督和管理,当销售商出现诈骗问题或所售产品质量存在问题时,一旦法院的裁判文书生效,就可以用赔偿基金先行对消费者进行赔付。制定诚信体系建设的标准和规范,需要打破目前各行业征信系统分割的现状,将各行业征信系统进行统一整合,并向社会公众开放,这样才能有效遏制网络欺诈行为。
关键词:个人征信制度;采集;使用
中图分类号:F832 文献标识码:B 文章编号:1007-4392(2009)04-0061-03
一、各国对个人信用信息采集、使用等相关征信立法比较
世界各国征信立法的共同之处是立法目的都在寻找个人隐私保护与信息披露之间的平衡,因此对个人信用信息的采集、使用的规范成为各国征信立法的重要内容。但由于经济特点、发展水平以及历史文化和生活习惯等差异,各国征信立法也各有特点。
(一)从征信立法规范的对象看,多数国家的征信立法主要是针对个人信息的保护
一是以英国为代表的国家,以个人数据保护为主要立法内容。如英国的《数据保护法》、瑞典的《个人数据保护法》等,这些法律不仅规范个人信息征集活动,而且还规范了包括医疗、市场营销等一系列可能涉及个人信息登记的活动。二是以美国为代表的国家,主要以征信活动或征信机构为立法对象。例如美国的《公平信用报告法》,主要规定了消费者个人有了解资信报告的权利并限制了资信调查机构对于资信调查报告的传播范围。其中一些条款也涉及企业,但主要内容是关于个人权利的保护。
(二)从征信数据管理看,各国对信用数据涉及的隐私保护侧重点和保护程度不同
美国《公平信用报告法》规定征信部门出于有关信贷活动等法定目的不需要征信对象同意即可采集有关数据,并明确了部分机构或个人不需征信对象同意即可使用信用报告。英国《数据保护法》规定采集信用信息需通知征信对象,数据的披露和使用在一般情况下必须经征信对象同意。法国规定采集、披露和使用信用数据均须获得征信对象的书面同意。
(三)从信息采集范围看,各国对个人信用信息的采集范围进行了严格限定
美国《公平信用报告法》规定征信机构可采集的信息包括消费者身份识别信息,贷款账户余额、授信额度、偿还历史以及与信用有关的公共信息,但不包括个人之间、公司内部交易活动、信用卡信用额度,也不包括超过一定年限的破产、欠税等负面信息。英国《数据保护法》要求征信机构采集数据不得超过已确定的采集和使用范围,法国、比利时等国公共征信系统只采集负面信息。各国还规定对征信对象的敏感信息应当特别保护,如美国《公平信用报告法》规定不得因性别、种族、和婚姻状况等对征信对象产生歧视,英国《数据保护法》以及欧盟法令规定对种族、政治观点和党派、等信息不得采集。
(四)从征信活动主体权利义务看,各国对征信活动主体的权利义务都作出了明确规定
凡征信法律制度比较健全的国家,都规定了征信机构对被征信人信用信息进行调查、采集的权限和程序。多数国家规定征信机构有义务免费向征信对象提供本人相关信息和信息来源甚至最近查询记录;征信对象有权要求核查、更正本人信用记录。英国《数据保护法》还规定征信对象在可能损害自己或他人的情况下有权要求停止对个人数据的采集和录入。美国《公平信用报告法》规定相关机构使用信用报告后对信用报告主体采取拒贷等不利行为的,必须书面通知其本人并告知其提供信用报告的征信机构等相关信息。
二、我国个人信用信息采集和使用的现状
目前我国尚无针对征信管理的专门法律,人民银行行使征信管理职权依据主要包括《银行信贷登记咨询管理办法(试行)》、《个人信用信息基础数据库管理暂行办法》、《信用评级管理指导意见》等,由于征信立法的相对滞后给个人信用信息的采集、使用带来诸多问题。
(一)个人信用信息采集范围不明确
《银行信贷登记咨询管理办法(试行)》、《个人信用信息基础数据库管理暂行办法》规定的信息采集范围主要是“金融机构信贷业务及借款人信息”、“法人企业主要财务指标”以及“个人基本信息、个人信贷交易信息以及反映个人信用状况的其他信息”,涉及的范围较大,没有细化的规定。在近年人民银行及其分支机构的积极努力下,征信系统将企业环保信息、拖欠工资及缴纳社保信息、个人公积金等信息纳入了信息采集范围,但其合法性诱发了一些争议。
(二)非银行类信息采集难
目前个人信用数据库数据主要来源于银行业金融机构,其他涉及其他公共信息等数据分散于其他政府部门或企业,由于未实现信息共享,未与银行发生信贷关系的个人其数据采集难度特别大。
(三)个人信用信息使用缺乏法律依据
目前我国个人信用信息使用还缺少法律依据,个人信用数据库数据查询使用所依据的《银行信贷登记咨询管理办法(试行)》、《个人信用信息基础数据库管理暂行办法》均属部门规章。上述两个规章规定数据使用限于金融机构,除规定征信服务中心可以有偿向个人提供本人信用报告外,对于征信对象、信用评级机构以及其他机构依法查询信用数据、未作明确规定。
三、规范个人信用信息采集、使用的相关政策建议
(一)明确规定个人信用信息采集的主体、范围和程序
1.个人信用信息采集的主体,即征信机构。首先要规定征信机构具有从事征信活动的硬件条件,如必要的注册资本、完善的技术设施、数据库系统、自动或人工核查系统、必要的安全和保密措施等;其次对征信机构的组成人员的素质和管理手段也要予以详细规定,实行任职人员资格准入制度。最后还应详尽规定个人征信机构的业务范围、审批程序、权利义务等。
2.个人信用信息采集的范围。应当在合理保护个人隐私的前提下,明确征信机构可以采集的信息、不能采集的信息以及需征信对象同意才能采集的信息,如对于种族、个人政治、婚姻状况以及企业客户资料、商业合同条款等涉及个人隐私和商业秘密的信息,一般不得采集;对于个人财产状况、收入情况、贷款余额及授信额度、与电信等垄断行业交易情况,以及企业财务报表、关联企业情况等信息,征信机构应当取得征信对象的同意才能采集并限制披露范围;对企业和个人信贷方面负面信息以及在纳税、环保、诉讼方面的负面信息,征信机构不需征信对象同意即可采集。
3.个人信用信息采集的程序。在个人信用信息的采集过程中,一方面要确保信用报告的公正性、全面性和完整性,尽量全面地征集有关信息主体的个人信息。另一方面,要注意保护个人的隐私权。力争实现个人信用信息的采集与隐私权的保护协调发展。
(二)明确规定个人信用信息使用的目的、范围和程序
由于个人信用资料许多内容是个人的隐私,个人信用资料和信用报告的使用应当有明确的使用人、使用目的和范围的限制,而不是向全社会公开或随意提供给其他不相关的机构或个人,应当对使用者、使用方法、使用目的和信息报告公开内容进行限制。
(三)明确规定征信机构对个人信用信息的义务
征信机构对个人信用信息的义务主要包括以下三个方面:一是安全保密义务。信息提供机构、征信机构和信息使用机构及其中因职权关系知悉消费者个人信息的工作人员,负有采取适当措施保障个人信息的安全性和秘密性的义务。征信机构向信息使用者提供个人信息时应告知其承担的保密义务。二是保证个人信用信息准确、及时、完整的义务。消费者通过正当途径可查询与自己相关的信息,如发现其中有不准确、不全面的情况,可以要求更改有关信息。三是保证信息主体有知情权和异议权的义务。
(四)建立个人信用信息采集使用相应的其他配套机制
1.建立科学的个人信用征信服务定价机制。征信机构在遵循独立、客观、公正和审慎原则的前提下,依法开展征信活动,盈利是其经营目的。因此,个人信用征信服务应当是一种有偿服务。国家征信监督管理部门应当按照市场原则,建立一套科学的个人信用征信服务定价机制。在制定定价机制时,应当充分考虑个人信用信息采集的成本、征信管理机构的管理运营成本、服务的对象、个人信用报告的用途等。征信服务定价还应考虑各地经济发展水平差异,在全国性指导价格下确定区域性定价标准。
2.建立完善安全严密的信息存储、管理、流转机制。一是要有完善的信息安全管理、保护措施和程序,确保个人信息的安全;二是要制订信息的更新程序,对有关信息进行定期或不定期的及时更新,确保信息的及时性和准确性;三是要限制个人信用信息流转的渠道,禁止信息从互联网等渠道进行流转、传播;四是要有个人信息泄露的预警和防范措施,以及信息泄露后及时补救和减少损失的措施。
关键词:计算机网络;信息安全;技术措施
中图分类号:TP393.08文献标识码:A文章编号:1006-8937(2012)08-0076-02
网络的普及化,使得现代社会成为信息大爆炸的时代。在这样的背景之下,如何保证网络信息的安全,就成了所有网络用户所关心的话题。而关于网络信息安全的技术发展,也一直成为社会关注的焦点。事实上,以技术对抗技术是当前计算机网络与信息安全最主要的防范手段,技术防范措施主要有访问控制技术、数据加密、防火墙技术、入侵检测技术等。
1影响网络安全的因素
造成计算机网络信息不安全的因素很多,特别是在Internet和Intranet环境下,包括众多的异种协议、不同的操作系统、不同厂家的硬件平台。因而安全问题较复杂,常见的网络安全威胁主要包括以下几个方面。
1.1计算机病毒
从本质上看计算机病毒是一种具有自我复制能力的程序。其自身具有破坏性、传播性、潜伏性和扩散面广等特点。计算机病毒会把自己的代码写人宿主程序的代码中,达到感染宿主程序的目的,导致程序在运行中受感染,同时,病毒还会进行自我复制,把其副本感染到计算机的其他程序。随着Internet的发展,Java和ActiveX 的网页技术逐渐被广泛使用,将文件附于电子邮件的能力也不断提高,计算机病毒的种类急剧增加,扩散速度大大加快,而且破坏性越来越大,受感染的范围也越来越广。
1.2计算机黑客
黑客,是英文“Hacker”的译音,原指“技术十分高超的、有强制力的计算机程序员”,后专指利用不正当的手段窃取计算机网络系统的口令和密码,从而非法进入计算机网络的人。黑客攻击主要手段有:窃取口令、植入非法命令过程或程序“蠕虫”、窃取额外特权、植入“特洛伊木马”、强行闯入、清理磁盘等。
1.3技术问题导致的不安全
广泛采用TC~IP协议的Internet,由于TCWIP协议在制定时,没有考虑安全因素,因此协议中存在诸多安全问题,正是由于TCWIP协议本身存在的欠缺,结果导致了Internet的不安全。TC~IP协议具有的互联能力强、网络技术独立、支持多种应用协议的特点,也不足以弥补网络的不安全。
1.4制度不完善导致的不安全
信息安全政策是一个国家或国际组织在一定时期内为处理信息自由传播与有限利用的矛盾而制定的一系列行政规范的总和,它以国家意志为后盾,以行政干预为手段,以政府行为为标志,对一定范围内的信息安全管理具有宏观导向作用,是网络信息安全的行政保障。
2安全防范技术
2.1访问控制技术
访问控制用来识别并验证用户,同时将用户限制于已授权的活动和资源。网络的访问控制可以从以下几个方面来考虑规划:口令识别、网络资源属主、属性和访问权限和网络安全监视等。口令识别是网络攻击的常用于段。口令受到攻击的途径有在输入口令时被偷听、被口令破解程序破解、被网络分析仪器或其他工具窃听、误入Login的特洛伊木马陷进和使口令被窃取等。因此口令安全应遵循以下原则:采用不易猜测、无规律的口令,字符数不能少于6个;不同的系统采用不同的口令;定期更换口令,最长不超过半年;采用加密的方式保存和传输口令;对每次的登录失败作记录并认真查找原因;系统管理员经常检查系统的登录文件及登录日志。
2.2数据加密
数据加密是计算机网络安全很重要的一个部分。由于Internet本身的不安全性,为了确保安全,不仅要对口令进行加密,也要对网上传输的文件进行加密。人们采用了数字签名这样的加密技术,同时也提供了基于加密的身份认证技术。事实上电子商务成为可能,数据加密功不可没。我们可以把数据加密技术分为3类,即对称型加密、不对称型加密和不可逆加密。对称型加密使用单个密钥对数据进行加密或解密,其主要优点是加密效率高、计算量小。
但由于密钥管理困难、使用成本较高、安全性能难以保证。在计算机网络系统中广泛使用的DES算法,是这类算法的主要代表。所谓的不对称型加密算法,也可以叫做公开密钥算法,其主要优点在于有公用密钥和私有密钥这两个密码,完成加密和解密的全过程,需要两者搭配使用。其在分布式系统中的数据加密中使用很有效,而在Internet中运用广泛。其中公用密钥在网上公布,为数据发送方对数据加密时使用,但是解密的相应私有密钥,必须要由数据的接收方进行严格保管。不对称型加密的也可以叫做“数字签名”(digital signature),也就是说数据源使用其私有密钥对与数据内容有关的变量进行加密,而数据接收方则用相应的公用密钥解读“数字签名”。
2.3防火墙技术
防火墙是位于内部网或Web站点与因特网之间的一个路由器或一台计算机,又称为堡垒主机。其目的如同一个安全门,为门内的部门提供安全,控制那些可被允许出入该受保护环境的人或物。就像工作在门外的安全卫士,控制并检查站点的访问者。归纳起来,防火墙的功能有:访问控制,授权认证,内容安全(包括病毒扫描、URI。扫描、HTTP过滤),加密,路由器安全管理,地址翻译,均衡负载,日志记账、审计报警。防火墙技术一般分为以下几类:
①基于IP包过滤的堡垒主机防火墙是在网络层实现的防火墙技术。IP过滤路由器根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。这种技术的优点是低负载、高通过率、对用户透明,但包过滤技术的弱点是不能在用户端进行过滤,如不能识别不同的用户和防止IP地址被盗用。
②服务器(Proxy Server)防火墙能够提供在应用级的网络安全访问控制。防火墙代替受保护网络的主机向外部网络发送服务请求,并将外部服务请求响应的结果返回给受保护网络的主机。这种技术的优点是不允许外部主机直接访问内部主机,支持多种用户认证方案,可以分析数据包内部的应用命令和提供详细的审计记录,缺点是速度比包过滤慢,对用户不透明,与特定应用协议相关联,并不能支持所有的网络协议。
2.4入侵检测技术
作为近年出现的新型网络安全技术,入侵检测技术的主要作用是提供实时的入侵检测,以及相应的防护手段,比如说记录相关的证据,以便用于跟踪和恢复、断开网络的连接等。它能够发现危险攻击的特征,进而探测出攻击行为并发出警报,并采取保护措施。入侵检测技术一方面可以应付来自内部网络的攻击,同时,也能够应对外部黑客的入侵。入侵检测系统可分为两种,即基于主机和基于网络。基于主机的入侵检测系统,主要是用于保护关键应用的服务器、实时监视可疑的连接等,同时还需要提供对典型应用的监视,例如Web服务器应用。
随着Internet的发展和网络应用的普及,网络安全以不仅仅是一个技术问题,而且是一个威胁到社会发展的问题。因此除了应大力发展网络与信息安全防范技术,还必须加快网络与信息安全法律的制定,通过管理、法律的手段保证网络与信息系统安全。只有这样,网络和信息系统才会真正安全。
2.5签名、认证与完整性保护
数字签名(Digital Signature)是手写签名的电子模拟,是通过电子信息计算处理产生的一段特殊字符串消息,该消息具有与手写签名一样的特点,是可信的、不可伪造的、不可重用的、不可抵赖的以及不可修改的,可用于身份认证和数据完整性控制。认证(Authentication)就是一个实体向另一个实体证明其所具有的某种特性的过程。在认证过程中,要用到两种基本安全技术,即标识技术和鉴别技术。常用的鉴别信息主要有:所知道的秘密,如口令、密钥等;所拥有的实物,如钥匙、徽标、IC卡等;生物特征信息,如指纹、声音、视网膜等;习惯动作,如笔迹等;上下文信息,就是认证实体所处的环境信息、地理位置、时间等,如IP地址等。
归纳起来,认证的主要用途有三方面:消息接收者验证消息的合法性、真实性、完整性;消息发送者不能否认所发消息;任何人不能伪造合法消息。所谓完整性保护,是指保证数据在存储或传输过程中不被非法修改、破坏或丢失,主要手段是报文摘要技术,即输入不定长数据,经过杂凑函数,通过各种变换,输出定长的摘要。
3结语
网络信息给人们的生活带来了极大的便利,但于此同时,也可能会出现大量的安全问题,为了保证用户的信息安全,信息安全部门需要从信息网络出现的问题着手,制定合理有效的安全防范措施,保证网络信息的安全。
参考文献:
[1] 谢振刚.如何建立安全的计算机网络系统[J].黑龙江科技 信息,2011,(8).
在金融业信息化程度不断提升的现代社会,个人金融信息安全与财产安全的关联度日益提升。作为个人金融信息最主要的收集和使用者以及公民财产重要的贮藏和代管者,金融机构有责任和义务成为保护个人金融信息安全的“排头兵”。若是缺乏有效的法律规制难免会出现个人金融信息被误用、滥用的情形,损害信息主体的利益。近年来频频发生个人金融信息泄漏事件,让公众震惊和忧虑,个人金融信息保护工作亟待加强。
一、个人金融信息保护概述
(一)个人金融信息的内涵和外延
个人金融信息是指与公民个人开展金融活动相关,在借贷交易、监管、征信等活动中产生、采集的公民个人身份信息、金融交易信息以及衍生信息。一般应包括:1、个人身份信息,如个人姓名、身份证件种类和号码等;2、个人财产信息,如个人收入状况、不动产状况等;3、个人账户信息,如账号、开户时间、开户行等;4、个人信用信息,如信用卡还款情况、贷款偿还情况等;5、个人金融交易信息,如银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息;6、衍生信息,如个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息;7、个人其他信息。
(二)隐私权和个人金融信息
1890 年,美国学者沃伦和布兰代斯发表了《论隐私权》一文,标志着隐私权概念的产生,自此隐私权逐渐走入各国立法的视野。美国最高法院将隐私权划分为三类:私事决定隐私权、身体隐私权和信息隐私权。信息隐私权是个人对自身可识别信息的收集、披露和使用的控制权。
个人金融信息作为个人信息的重要组成部分,与个人隐私有非常密切的联系。一方面,个人金融信息往往具有私密性,另一方面,侵害个人金融信息的行为一般表现为非法披露个人金融信息资料。然而,保护隐私权的主旨在于保护权利人免受外界的非法干扰,维护个人私密的空间,具有一定的被动性。个人金融信息的保护除了不应被他人非法披露之外,还包括信息主体对个人金融信息的控制权。同时,个人金融信息也不仅仅是私密的信息,部分个人金融信息资料因为涉及公共利益必须在一定范围内公开。 对于侵害个人金融信息的救济,除了精神损害赔偿之外,还应当包含财产损失赔偿。可见,虽然隐私权和个人金融信息具有交叉关系,但是二者无论是从权利内容上还是权利救济途径上看都有一定区别。
(三)个人金融信息保护的必要性
1.保护个人金融信息是对个人隐私权的尊重
隐私权是人的自然权利,它使人成为独立的个体,获得独立的人格,自由支配自己的生活,其重要性不言而喻。对建立在隐私权基础上的个人金融信息权的保护也是对其根基隐私权的保障。个人金融信息中的许多信息是不愿被公开的私人隐秘领域或者是期望排除他人干涉的领域。对于这些信息的侵犯不仅会使个人的财产蒙受损失,而且会使个人的精神受到打击。
2. 保护个人金融信息是信息分享的前提
金融机构通过获取大量个人金融信息,并且对其进行开发利用,能够产生可观的经济价值。但对个人金融信息的分享是以个人金融信息获得充分保护为前提的。如果一个国家的个人金融信息保护处于无序、混乱的状态,个人将会对金融机构和当局失去信任,从而不愿意提供这些信息,个人金融信息分享也就成为空谈。
3.保护个人金融信息是国家金融和信息安全的题中之意
个人金融信息保护关系到国家金融和信息体系的稳定和安全,个人金融信息的泄露将造成金融系统的混乱,破坏金融系统的稳定性和安全性。我国网络购物用户规模占网民的41.6%,远低于发达国家水平,一大原因就是我国网民对通过网络提供个人金融数据的担忧,主要体现在担心被诈骗、信息被泄露或盗取以及个人信息被非法利用。目前,我国金融机构已出现个人金融信息泄露的迹象,而美国信用卡泄露事件更足以让我国提高对个人金融信息保护的重视程度,在该事件中有 8660 名中国客户受到牵连。
二、主要国家和地区个人金融信息保护制度概述及比较
(一)国际上个人金融信息保护的法律制度比较
1.美国
美国在对个人信息保护总体上采取自律模式,主要通过行业性自律规范对个人信息进行保护,而在医疗、金融等领域则通过制定特别法对个人信息予以保护。美国的个人金融信息保护具有以下特点:
(1)实行区别行业保护。对于银行业金融信息保护依据的主要是联邦法律,对于保险业的金融信息保护则依据各州自己制定的法律。在证券业方面,以联邦监管机构制定的规则为主,以行业自律为辅。主要法律依据有:1966 年《信息公开法》、1971年《公平信用报告法》、1974 年《隐私权法》、1978 年《金融隐私权法》、1999年的《金融服务现代化法》、2003 年《公平正确信用交易法》和2010 年《多德―弗兰克法案》等。
(2)确立了权利协调和公益优先原则。如果金融机构严格执行保密义务,不允许向外披露,很可能会放纵违法犯罪行为的发生,因此有必要对个人金融信息权利加以适当的限制。由此,美国确立了协调和公益优先的原则。当一项消费者信息涉及公共利益时,法律规定国家有权力要求金融机构向其披露消费者信息。但同时,这种权力的行使必须限制在一定范围内,由此确立了政府、客户、金融机构、法院四方主体共同构成的金融信息平衡关系。
(3)特别重视行业自律的管理模式。作为以市场为导向的国家,美国特别重视运用行业自律的模式管理金融领域。除个别领域外,金融行业协会制定的自律规范成为金融机构保护个人金融信息的重要基础性依据。
2.欧盟
欧盟则并不区分领域,采取统一保护的模式,对各类数据实行同一水平的保护。1995 年欧盟通过了《关于个人资料处理及自由流通个人保护指令》,该指令一出台即成为了欧盟最重要的个人信息保护法律,其为所有行业的个人信息保护提供了统一的标准,该指令主要规定以下内容:
(1)保护的数据类型。指令对保护的数据类型规定非常广泛,任何与一个被证实的或可以证实的自然人有关的信息均纳入保护的类型中。
(2)信息主体的主要权利。包括:数据主体对个人信息的存取权、获得信息权和拒绝权。数据控制者必须向数据主体提供身份、数据处理目的等信息。数据主体有权随时拒绝关于本人的数据处理,有权拒绝为直接营销目的而进行的处理,或者在个人数据被使用前有权知悉。
(3)信息处理的合法性基础。指令规定在以下情形下可处理个人信息:一是数据主体明确同意。二是为履行约束数据控制者的义务有必要处理时。三是当涉及税收、反洗钱等公共利益时。
3.日本
日本主要是通过法律与自律规范的紧密结合来对个人金融信息进行保护。
(1)建立了相对完善的保护法律体系。自1987 年起,日本相关机构先后制定了《办理关于金融机构保护个人资讯指南》、《关于民间部门保护个人信息指导方针》、《个人信息保护法》、《金融领域个人信息保护方针》与《金融领域个人信息保护方针的安全管理措施实务指南》等法律文件,是日本个人金融信息保护的重要依据。
(2)依靠法律规范和自律规则做好保护工作。主要是通过成文法律与行业性自律规则建立对个人金融信息保护的制度体系。日本全国银行协会参照监管部门的个人资料保护指南,制定了行业内的自律性规则,用以指导金融机构做好个人信息保护工作。
(二)国际个人金融信息保护法律制度的评述
综观各国对个人信息的保护制度,具有以下特点:
1.个人金融信息保护皆有法可依,制度相对完善。美欧日等发达国家或地区大都制定了包括个人金融信息在内的保护法律规范,法律体系相对完善,在保护个人信息安全的理念上具有一致性。
2.基于法律文化差异等原因,个人金融信息保护的模式选择不尽相同。美国是判例法国家,金融监管体制不同于其他国家和地区,采取银行、证券和保险行业分别保护的模式。欧盟作为国家的联盟性机构,考虑各国的不同情况,只能制定涵盖范围广泛的保护规定,因此,采取了全面性保护模式。
3.均规定了信息的来源渠道和收集手段合法。金融机构首次获得信息必须基于建立业务关系的初次契约中,契约的生效也就包含了消费者同意或授权的意思表示。在信息的收集上,必须坚持“最少必需”的原则。在信息流出金融机构时,区别不同的信息类型,决定是否需要获得消费者的明确意思授权。
4.均规定了金融信息保护的例外内容。为合理平衡个人金融信息保护和信息披露之间的关系,保证金融业务的正常开展,在规定金融机构保密义务和客户权利的同时,一些例外规定应运而生。这些例外情况逐渐发展并渗透在以后的有关金融信息保护的法律中,对于解决金融信息权益保护与其他相关规定的冲突起到了一定的平衡作用。
三、我国个人金融信息保护立法及监管情况
(一)现行法律中关于个人金融信息保护的规定
目前,我国个人金融信息保护的制度尚不完善,对个人金融信息的保护主要体现在以下法律法规和规范性文件中。
1.法律层面。我国《民法通则》、《刑法》和《商业银行法》有部分条款直接或间接涉及个人信息的保护。《民法通则》第99-101条分别对公民的姓名权、肖像权和名誉权作出保护规定。《刑法修正案(七)》规定了出售、非法提供公民个人信息罪及非法获取公民个人信息罪两个罪名。《商业银行法》第二十九条规定了商业银行应当遵循为存款人保密的原则、有权拒绝任何单位或者个人查询、冻结、扣划个人储蓄存款(但法律另有规定的除外)。
2.行政法规层面。1992年的《储蓄管理条例》(国务院令第107号)第五条规定“储蓄机构办理储蓄业务,必须遵循……为储户保密的原则”。2000 年的《个人存款账户实名制规定》(国务院令第285号)第八条也规定了金融机构为储户保密的义务。2013年3月15日起施行的《征信业管理条例》(国务院令第631号)是我国个人金融信息保护工作上的一个里程碑,条例共47个条款,有将近一半直接涉及个人金融信息保护。其中关于个人金融信息保护的主要制度设计包括:尽可能地扩大履行个人金融信息保护职责的机构范围、提高征信机构的准入门槛、规范信息的采集和使用、保障信息主体的知情权、设立个人信息纠错机制、严格法律责任等。
3.部门规章层面。人民银行、银监会等在其部门规章中针对电子银行、反洗钱及信用卡业务等方面对银行客户个人信息的保护作出了相关规定。如中国人民银行2005 年制定了《个人信用信息基础数据库管理暂行办法》(中国人民银行令〔2005〕第3号),对个人信用信息采集、整理、保存、查询、异议处理、用户管理、安全管理等方面进行了规范。其中第十三条要求商业银行获取个人信用信息必须取得当事人的同意,使其享有知情权。此外,罚则部分对征信机关、商业银行违反保护规定,泄露个人信用信息行为制定了相应的处罚措施。该暂行办法是我国颁布的第一个专门针对个人信用信息保护的规章。《电子银行业务管理办法》(银监会令2006年第5号)第五十二条规定:“金融机构应采取适当措施,保证电子银行业务符合相关法律法规对客户信息和隐私保护的规定”。人民银行、银监会、证监会和保监会联合颁布的《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》(中国人民银行令〔2007〕第2号)第二十八条规定:“金融机构应采取必要管理措施和技术措施,防止客户身份资料和交易记录的缺失、损毁,防止泄漏客户身份信息和交易信息”。《商业银行信用卡业务监督管理办法》(银监会令2011年第2号)第三条规定:“商业银行经营信用卡业务,应当依法保护客户合法权益和相关信息安全。未经客户授权,不得将相关信息用于本行信用卡业务以外的其他用途”。
4.规范性文件层面。人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)第2条规定:“银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用”。
(二)个人金融信息保护现状分析
目前,我国对个人金融信息的保护已在相关立法上有所体现,但也应该看到,与其它国家或地区相比,我国在个人金融信息保护方面仍然存在较大的缺陷,主要表现在以下几个方面:
1.法律制度不完善
一是法律体系不完备。目前对个人信息保护的民事法律依据主要是《民法通则》有关个人姓名权、肖像权和名誉权的规定,刑事法律依据主要是刑法修正案(七)有关出售或非法提供、获取公民个人信息犯罪的规定,无法规制那些侵犯个人信息但尚未构成犯罪的行为,信息主体的权利得不到全面确认和保护。各类经济主体收集、保存、交换个人信息等所应遵循的基本原则、程序和制度也得不到统一的规范。二是相关规定较为抽象、零散。现行金融法律,如《商业银行法》、《证券法》、《保险法》等仅对金融机构保密义务进行原则性规定,导致金融机构难以执行。《个人存款账户实名制规定》、《银行卡业务管理办法》等金融法规规章仅对某类个人金融信息,或者某个金融业务领域或环节作了保密规定,无法覆盖全部个人金融信息。三是相关规定效力层级低。中国人民银行出台了《个人信用信息基础数据库管理暂行办法》、《关于银行业金融机构做好个人金融信息保护工作的通知》,《办法》和《通知》对个人金融信息收集、保存、使用等做了相应规定,但前者属效力层级较低的部门规章,后者为规范性文件,不属于广义法律的范畴。四是信息主体享有的权利不明,救济手段有限。信息主体对其个人金融信息应享有知情权、异议权、索赔权等权利,而这在我国现行法律体系中未得到明确。从司法实践看,个人金融信息遭受非法侵犯后,受害人多数获得的仅仅是停止侵害、消除影响等名誉补偿方式,经济和精神赔偿请求基本得不到司法部门支持。尤其是因个人金融信息泄露导致诈骗、资金被盗等,除犯罪分子承担刑事责任以外,受害人难以获得经济赔偿。
2.立法理念有偏差
从我国个人金融信息保护的相关规定来看,个人金融信息保护的法则与保护例外的规则对比较为失衡。对个人金融信息保护的规定主要是原则性的内容,比较抽象,操作性不强。而与此相反,对个人金融信息保护例外性的规定无论是从实体权利与义务的安排上,还是从对个人金融信息披露的程序上都比较具体,更具有操作性。这表明我国在个人金融信息保护立法上存在“重信息披露、轻信息保护”的价值取向,立法理念有一定的偏差。
3.监管效果不明显
《中国人民银行法》、《商业银行法》、《银行业监督管理法》等法律法规没有明确规定个人金融信息保护工作的监督管理部门。由于缺乏基础性制度支持,金融监管部门执法时,对违法行为的认定和处理存在较大困难,能够用来处理违法金融机构的手段少之又少,只能运用通报、约见谈话等惩戒性不强的手段,不能对违法机构产生威慑力。
4.保护意识待强化
一方面,金融机构对个人信息安全保护认识不足。缺乏个人信息安全管理制度,对客户个人信息保密责任不明晰,没有对信息实行有效的安全等级分类管理;对制度的执行监督检查、评估不够,而问责更少,对掌握重要信息的离岗人员的保密责任没有严格的约束措施。另一方面,公众对个人信息保护虽有一定的认识,但对个人信息的重要性及个人信息保护制度的相关细节却普遍缺乏深入的了解,对个人信息保护的意识并不高,风险防范意识较为薄弱。
四、加强我国个人金融信息保护的建议
(一)立法理念
1.保护模式的选择
美国采取分散立法模式,欧盟采取综合性的立法模式。两种立法模式均有其深刻的历史和社会背景。分散立法模式使得美国对个人信息的保护显得错综复杂。不同类的信息由不同的法律管辖,不同机构涉及个人信息的行为也由不同法律管辖,这种“支离破碎”的模式要较欧盟的“综合”模式在法律保护的充分性上相对弱一些。欧盟模式是对所有行业实行统一标准,并在欧盟内部确立了个人信息保护的最低标准,该模式有利于个人信息得到全面的保护。但同时,欧盟的全面立法也可能阻碍个人信息的正常流通。
鉴于两种制度都各有其利弊,我国比较好的选择是采用统一立法与行业自律结合的保护模式,制定个人信息保护法作为对我国个人信息保护的基本法,并结合金融行业的行业自律,为个人金融信息的保护构建出一个基本的框架。同时,修正我国现行法律已有的相关条款,对银行保密做出明确的规定,并根据经济、社会发展之需要而在金融领域制定专门的法律法规来完善对个人金融信息的保护。
2.隐私权保护和信息公开的协调
为平衡对个人金融信息的保护与信息公开之间的关系,协调其相互冲突的价值,需要遵循以下原则:
(1)公共利益优先原则
这项原则要求凡是与社会政治和公共利益有关的信息,政府享有知情权,有权将此信息公开。个人金融信息利益与公共利益发生冲突时,个人金融信息利益应让位于公共利益,以确保公共利益的优先实现。
(2)权利协调原则
这项原则要求对具体情况进行具体分析,达到权利的协调与平衡。在社会生活中,金融信息权和政府知情权都十分重要,对任何一种权利都不能完全抛弃。因此,权利协调原则就是要求一种权利做出让步以便使另一种权利得到基本满足。
(3)最大限度保护人格尊严原则
在一些特殊情况下,金融隐私权必须让位于政府知情权,但是政府在利用个人信息时必须最大限度的保护公民的人格尊严。必须对行政机关收集和利用个人信息做出限定,赋予信息主体知情权和救济权,确立政府、个人、金融机构、法院四方主体共同构成的金融信息获知与保密的平衡关系。
(4)信息流通原则
高度发达的信用体系在防范金融风险,提高市场资源配置效率等方面发挥着积极作用。信用从封闭走向公开,这是现代商业社会发展的需要。信息时代对个人金融信息保护的原则是力求获得两者的平衡,即既要保护个人金融信息,又不能使对个人金融信息保护成为信息自由流通的障碍。个人信息立法应该兼顾个人权利的保护与信息自由流通两个目标。
(二)构建我国个人金融信息保护制度的具体建议
1.明确个人金融信息的法律地位
构建个人金融信息保护制度,首先必须明确个人金融信息的法律地位。加快个人信息保护立法步伐,条件成熟时,制定专门的《个人信息保护法》;尽快修改《中国人民银行法》、《商业银行法》、《证券法》、《保险法》等法律,明确金融机构保护个人金融信息的义务和法律责任;进一步强化金融部门规章立法建设。形成以专门法律为核心、其他法律法规相配合、部门规章和制度为补充的个人金融信息保护法律体系。
2.明确个人金融信息的主体
个人金融信息主体应当是个人金融信息的所有者,个人金融信息主体对其自身的金融信息享有所有权,能够占有、使用、收益和处置自己的金融信息。可明确规定信息主体至少应包括以下权利:一是知情权,信息主体有权知晓金融机构收集、使用、披露、转移个人金融信息等的目的、范围;二是选择权,信息主体可自主选择是否接受金融机构对其个人金融信息的收集、披露等;三是访问权,有权查询其在金融机构的个人金融信息及其管理情况;四是异议权,信息主体有权要求金融机构对其个人金融信息进行适当更改、删除;五是索赔权,信息主体有权要求其信息免受非法和不当使用的侵害,并在遭受侵害时要求赔偿。
3.明确个人金融信息的内容
如果将金融信息视为个人产权的话,权利的行使必然涉及产权界定,而明确金融信息保护的范围实质上就是界定产权的边界。因此,要科学划定个人金融信息的包含内容,建议以列举加兜底的方式,明确个人金融信息保护的范围,如个人身份信息、财产信息、账户信息、信用信息、金融交易信息、衍生信息,以及金融机构在与个人建立业务关系过程中获取、保存的其他个人信息。
4.明确个人金融信息保护的例外情形
在强调对个人金融信息保护的同时,出于对国家利益、社会公共利益等因素的考虑,也应明确对个人金融信息保护的例外情形――信息披露。例外情形可以包括以下几方面的内容:源于法律的规定而进行的信息公开、出于公共利益的考虑而对个人金融信息的披露、基于征信的需要而进行的信息交流、金融机构基于自身的利益而进行的合理披露以及经客户同意而进行的信息公开等。
5.明确个人金融信息保护的监管机关
可设立独立的机构或指定机构负责个人金融信息保护的监管,明确监管职责。监管机构负责建立个人金融信息保护的统一规范和标准,督促金融机构加强信息安全管理,强化个人信息数据库的管理,防止信息被滥用等。为确保监管机构更好第履行个人金融信息保护职责,法律应赋予监管机构必要的监管手段,对违规泄漏个人金融信息,造成个人损失或引发不良社会影响的,可实施行政处罚或采取其他监管措施。
6.明确个人金融信息保护的救济机制
我国现行法律制度对个人金融信息侵权的民事责任缺乏规定或是规定得过于抽象,信息主体在权利受到侵害后不能寻求充分的救济。我国在制定及修正相关法律法规时应对法律责任进行重构,能够对民事责任给予更多的关注,以建立更为科学的个人金融信息保护法律责任体系。我国《民法通则》第一百三十四条规定了承担民事责任的方式,包括:(1)停止侵害;(2)排除妨碍;(3)消除危险;(4)返还原物;(5)恢复原状;(6)消除影响、恢复名誉;(7)赔礼道歉;(8)赔偿损失。在侵害个人金融信息所应承担的民事责任方面,赔偿责任是关注的焦点。个人金融信息侵权行为侵害的是信息主体于个人金融信息上的一般人格权,对人格权的侵害将可能造成本人的财产利益损害和人身利益损害。因此,侵害个人金融信息的赔偿责任也应包括财产损害赔偿和精神损害赔偿。
参考文献:
[1]张磊.个人金融信息保护管理现状与改进[J]. 中国金融电脑,2012,(2).井慧宝,常秀娇.个人信息概念的厘定[J].法律适用,2011,(3).
[2]艾瑞咨询.2011 年中国网络购物年度数据. http:///others//20120113/161491.shtml,2012-01-10.
[3]人民网.信用卡泄密波及中国持卡人 四商业银行紧急应对. http://.cn/GB/3493444. html,2005-06-24.
[4]王宝刚,张立先,马运全,荆伟,陈 晨.个人金融信息保护法律问题研究[J].金融理论与实践,2013,(2).
[5]周学东.关于完善个人金融信息保护法律体系的思考[N].金融时报.2013-03-18.
[6]陈永.欧盟和美国关于信息隐私保护的比较研究―兼论“9.11”后隐私立法政策的变化[A].北大国际法与比较法评论[C].2003.
[7]熊远艳.论个人金融信息的法律保护[D].重庆大学,2008.
[8]齐爱民.制定个人信息保护法的人权意义与经济功能[J].嘉兴学院学报,2007.
【关键词】金融;消费者权益保护;思考
金融是现代社会生活的重要组成部分,金融消费者的各项活动与国民经济的快速和可持续发展密切相关,与整个经济社会的健康和稳定运行紧密关联。随着我国金融市场改革的逐步深入和现代信息科技的日新月异,金融产品与服务不断创新,金融消费者活动日益丰富,金融活动覆盖范围、参与人员及参与方式均已发生重大变化。为有效保障金融活动参与者的合法权益,促进金融市场与服务的规范化发展,金融消费者权益保护工作的重要性日益凸显。
一、人民银行实施金融消费者权益保护的现状和措施
(一)以制度建设为根本,规范对金融活动数据的管理和使用
为有效规范对金融活动数据的管理,切实保护个人和企业金融消费者的合法权益,人民银行在征信管理、支付结算管理、外汇管理、反洗钱管理等业务处理方面,均对金融消费者的基本信息及金融活动相关数据的管理和使用进行了规范。以个人征信信息的管理为例,2005年人民银行出台了《个人信用信息基础数据库管理暂行办法》,明确规定了个人信用信息的报送、整理、查询使用和安全管理要求,并就个人对信用信息产生置疑时的异议处理及商业银行、征信服务中心、人民银行相关人员篡改、毁损、泄漏个人信用信息等行为的处罚进行了阐述,对保护金融消费者的个人基本信息和信贷记录信息的隐私安全发挥了重要作用。
(二)以信息系统为依托,实现金融活动数据的科学、高效管理
随着人民银行信息化建设步伐的加快,各类金融信息管理和服务系统的建成投产为人民银行实现对金融信息、数据的科学、高效管理提供了强有力的保障。近年来,个人信用信息基础数据库、企业信用信息基础数据库、人民币银行结算账户管理系统、联网核查公民身份信息系统、人民币跨境收付信息管理系统等一系列业务信息系统的投产运行除了为广大的金融消费者提供了便捷的金融服务外,也为实现金融消费者金融活动数据的有效管理奠定了坚实基础,保证了金融活动数据的安全、完整。
(三)以防护设施为支撑,保障金融信息系统与服务的正常运转
为保障各类金融信息系统的安全和稳定运行,人民银行不断加强信息安全防护设施建设,通过数据中心机房安防建设、网络与运维监控系统建设、异地数据备份中心建设等多种举措持续增强信息与数据的安全防护能力。随着我国金融市场改革的不断深入,金融业信息交互日益频繁,人民银行信息系统的接入范围不断跨大,面临的安全风险也随之增大。为做好人民银行信息系统接入方一端的信息安全防范工作,人民银行严格要求各接入机构必须具备相应的入网技术条件和管理要求,经核准后方可接入。
(四)以行政管理为手段,对金融消费者权益实施综合保护
人民银行作为我国的中央银行,对金融机构具有支付结算监督检查、银行卡管理、征信管理、外汇管理、组织协调反洗钱工作等多项行政职能。近年来,人民银行积极组织和开展“两综合,两管理”工作,不断加强对金融机构相关业务的监督检查力度,督促金融机构严格执行各项规章制度并逐步完善内部业务操作规程,同时积极组织各类金融消费者权益保护宣传活动,对保护金融消费者的各项合法权益发挥了积极作用。2012年,人民银行总行层面开始设立金融消费者权益保护工作的专门部门,在央行职责范围内稳步推进金融消费者权益保护工作。
二、金融消费者权益保护工作面临的困难与存在之不足
(一)金融消费者权益保护工作制度、工作机构不健全
目前,我国尚未建立专门针对金融消费者权益保护的相关法律法规,金融消费者权益保护的监管职能尚未明确,专业工作制度和机构不健全,导致有关部门和金融消费者在处理金融纠纷时缺乏明确依据和指导,不利于保护金融消费者的合法权益和建设和谐稳定的现代经济金融秩序。
(二)金融消费者投诉渠道不畅、维权难
我国目前主要由消费者协会和金融监管机构对金融消费者的权益实施保护。然而,由于各金融监管机构内部解决金融消费者投诉和纠纷的相关机制尚未健全,缺乏受理投诉和维权申请的专门渠道,导致金融消费者投诉难、维权难。通常,金融消费者只能通过民事诉讼等其它途径解决问题,维权周期长、成本高。
(三)金融消费者权益保护工作要求高,缺乏专业工作队伍
金融消费者权益保护工作对从业人员要求高,不仅要精通金融知识,还需要掌握法律、信息科技等专业知识,只有具备以上素质的综合性人才才能为金融消费者提供权威、全面的维权咨询与服务。目前,从事金融消费者权益保护工作的专业人才急缺。
三、加强金融消费者权益保护工作力度的建议
(一)建立和完善金融消费者权益保护制度及工作组织
人民银行作为我国金融行业的管理部门,应积极会同相关部门协调和推动我国金融消费者权益保护法律法规的建立健全工作,明确金融消费者权益保护工作的管理机构和管理职能,并针对各项金融产品和服务不断完善相应的消费者权益保护制度,为保障金融消费者的合法权益奠定制度基础。同时,应积极推进金融消费者权益保护工作专业机构的设立,为金融消费者维权提供专业服务。
(二)提供便捷的金融消费者维权、投诉和受理渠道
各金融监管机构和金融消费者权益保护工作专业机构应制定并公布金融纠纷受理和处理流程,畅通金融维权、投诉渠道,通过热线电话、手机短信、网络平台等多种方式和途径为金融消费者提供便捷的专业维权咨询和服务,营造良好的金融消费者维权秩序。
(三)重视科技风险防控,保障金融消费者信息与财产安全
现代信息科技在促进金融服务创新和优化金融管理方面所发挥的作用愈来愈显著,重视科技风险防控,对保障现代金融消费者信息与财产安全意义重大。对于新兴金融产品与服务,特别是与现代信息网络技术紧密相关的产品与服务,要配套落实完备的科技风险防范措施,如先进的加密机制、多重认证方式等,确保金融消费者的信息与财产安全。此外,相关金融产品在投入市场前,应充分做好产品的风险防控论证工作,并配备相应的应急处置措施。
(四)培养金融消费者权益保护工作专业人才队伍
金融消费者权益保护工作专业人才队伍是确保金融消费者权益保护工作得以正常开展的重要保证,是保障金融消费者合法权益的中坚力量。金融消费者权益保护工作专业队伍的建设和培养,对推动金融消费者权益保护事业的长期、稳定和健康发展至关重要,对促进和规范我国金融事业的改革和发展意义深远。
作者简介:
随着央行计算机网络建设的不断深化,数据管理不断集中,特别是大额支付系统的上线、货币金银管理系统数据全国集中、账户管理系统数据集中处理、办公自动化系统的不断延伸以及个人征信系统的推广升级,计算机网络运行在基层央行的应用越来越广泛和重要。计算机广泛应用的同时,也因其自身的脆弱性而面临网络病毒更严重的威胁与攻击。最近笔者对人行___中支辖区内计算机防病毒工作进行了调查,发现了一些不足和隐患,亟需完善和改进。
一、基本情况
___中支所辖16个支行,包括银监分局在内,接入内联网的计算机共有712台。全辖科技工作人员共有21人,其中中支科技科5人,县支行共16人。各行都成立了以行领导任组长、各科(股)长为成员的计算机安全管理领导小组,分部门设立了计算机安全管理员,制定了计算机病毒防治管理制度,明确了病毒防治职责,并把计算机病毒防治工作纳入工作目标责任制考核之中。计算机安全管理领导小组定期对全行计算机安全管理进行检查、通报,科技人员定期对全行职工进行安全教育,做到了有组织、有领导、有制度、有措施。
二、存在问题
(一)全员病毒防范意识有待进一步提高。据随机抽查,基层行员工对计算机病毒防范意识不强,防病毒知识知之甚少,片面认为自己只是使用者,如果不故意传播,不会出现安全问题。
(二)操作人员安全防范意识薄弱,缺乏病毒防治相关知识。由于计算机安全知识培训只做了表面文章,没有真正起到应有的效果,即使搞了培训,也是注重操作系统学习,而忽视安全管理的教育。操作人员外出学习、培训,只重点学习系统的操作,对计算机病毒安全防范知识知之甚少,大部分使用人员不清楚计算机安全防范工作中应重点做好哪些工作,如调查中发现,某行为业务部门配备了一台计算机,用于网上学习,操作人员盲目删除了防病毒软件,出现了感染病毒不能杀除的结果,人为的“撤防”,造成计算机被病毒攻击事件,原因就是不懂得计算机防病毒安全知识,盲目使用造成的。还有的操作人员甚至连计算机下方的防病毒系统符号都不认识,更不用说进行查、杀毒和手动打操作系统补丁了。有些业务部门新配备的计算机不通知科技管理人员,也没有安装防病毒软件,直接接入内联网。还有的私自卸载了总行统一配置的防病毒软件,安装了自认为“方便”的其它防病毒软件,形成了新的风险点。
(三)科技人员专业素质不能适应计算机病毒防治工作需要。据调查,支行的计算机防病毒管理员大都没有经过专业的系统培训,没有取得专业证书。大多数管理员对防病毒软件工作原理不清楚,不了解防病毒软件配置,有些管理人员认为病毒防治工作只要打开防病毒服务器就万事大吉,病毒定义码是否自动升级、更新,各种操作系统补丁应打到哪一级并不清楚。同时,由于没有经过系统、全面培训,大部分管理员对防病毒服务器日常的监测和预警病毒疫情无法实现,无法分析出何为高风险事件、产生攻击事件是由何种病毒传播产生,更无法提出防病毒系统不能自动清除计算机病毒的解决办法,无法协调和解决本单位计算机病毒疫情高发期间的病毒防治与应急工作也就不足奇怪。
(四)部门计算机安全管理人员职责不清,科技人员顾此失彼。尽管各行都建立了计算机安全管理组织体系,但由于未明确部门计算机安全管理员和操作人员的职责,本该部门计算机安全员和操作人员做的工作,全部推给了科技人员,使得科技人员工作顾此失彼。同时,大部分支行没有专职科技人员,身兼多职,工作忙于应付,病毒防治很难落到实处。
(五)硬件设施投入不足,不能满足开展防病毒工作的需要。调查中发现,个别支行防病毒服务器内存仅有128M,难以适应服务器日常工作需要。
(六)技术防范手段滞后,难以起到主动防范的效果。目前人民银行内联网系统上安装的诺顿企业版防病毒系统(SYMANTEC)和入侵检测系统(IDS),虽然较好地解决了内联网防止计算机非法攻击和病毒入侵的问题,但这些均属于被动防范措施,并不能在技术上起到主动阻止病毒在内联网上传播的作用。特别是对当前新型病毒,尤其是“冲击波”、“震荡波”等网络病毒防范效果并不是很理想。其工作原理是按照“自上而下,逐级完成”的升级方式,从总行防病毒网站下载,先完成中支一级防病毒服务器版本升级,然后完成支行防病毒服务器版本升级,再逐一安装到用户的客户端,造成了补丁分发安装的严重滞后。由于防病毒软件总是落后于病毒发作,加之防病毒代码升级包由开发商到总行,再经过层层下发,造成了基层行防病毒代码总是要滞后开发商一周时间,为计算机的安全运行带来一定影响。这种方法有两个不足:一是安全更新时间较长,平均1台计算机按需要半个工作日进行分发、更新计算。二是手动分发、更新补丁不全,仍存在一定系统风险。
三、对策建议
(一)健全组织,切实发挥计算机安全管理领导组的作用。
在当前人民银行与银监分局共用一个网络的情况下,对计算机病毒防治管理要采取“预防为主、防治结合”的方针,建立的防病毒工作领导组,应在所有使用内联网的科室(包括银监分局)设立部门安全员,对人民银行内部科室要求的工作内容,也同样要扩大到银监分局内,解决计算机病毒防治的“盲区”,把计算机防病毒工作落到实处,真正实现人人讲安全、全员保安全。
(二)完善制度、明确职责。按照“谁使用、谁负责,谁主管、谁负责”的原则,实行计算机病毒防治管理责任制。充分发挥基层计算机防病毒管理员、安全员和计算机使用人的作用,明确各自责任。防病毒管理员的任务就是负责定期监测联网计算机病毒定义码的升级情况、扫描引擎和软件程序的分发和更新等日常技术保障和维护工作,对计算机病毒防治工作监督检查,向上级科技部门报告本单位计算机病毒防治情况,向业务部门提供技术支持,负责本单位连接内联网计算机的登记、监督,日常监测和预警本单位计算机病毒疫情,对防病毒系统不能自动清
除的计算机病毒,提出解决办法,并做好相应记录,指导和协助部门计算机安全员完成相应的补丁程序安装工作,并监督检查落实情况;部门计算机安全员负责监督检查本部门防病毒客户端软件运行情况,协助计算机用户完成补丁安装工作;计算机用户的职责就是及时检查所使用计算机客户端防病毒软件运行情况,及时主动使用所安装的客户端防病毒软件,定期全面检测和清除所使用的计算机客户端的计算机病毒,及时主动安装最新补丁程序,定期做好所使用计算机客户端重要数据备份工作。
(三)抓好三个方面教育,全力提高人员素质。1、进行法制教育,提高全员“防毒”意识。要将计算机信息安全教育和防病毒知识教育作为法制教育的核心,利用职工大会、宣传橱窗、法制图书、安全保密形势教育等形式对干部职工进行计算机防病毒知识教育,使大家充分认识到,做好计算机防病毒工作不仅仅是某一个人或者某一个行的事情,而是关系到整个人民银行系统网络安全的大事情,是关系到金融安全稳定运行的大事,从而提高员工的法律法规意识,使每个职工都能主动结合实际情况自觉做好计算机防病毒工作,做到从思想杜绝病毒侵入。2、抓好计算机防病毒基础知识教育。要采取各种不同的教育方式,对职工进行针对性的培训。充分利用专题讲座、开办职工夜校和网络教学等形式,对职工进行计算机信息安全技术教育,使职工能熟练安装和使用一般的安全工具(如自动更新杀毒软件、安装系统补丁),了解所操作计算机的配置、薄弱点和风险点,熟悉所操作计算机的风险防范措施及应急计划。知道预防计算机病毒的基本方法,如不使用与业务无关的外来软盘、光盘或其它外来存储介质,不安装与业务系统无关的程序等,在对计算机文件进行拷贝、运行等操作时,必须进行计算机病毒扫描,使日常的行为和操作上形成一道“防火墙”。3、提高计算机防病毒管理人员的专业素质。要着力挖掘现有人才的潜力,强化人才培训机制,通过安排专业人员参加专业技术培训,加强信息和技术交流,从理论和实践上更新科技人员的知识结构,提高技术水平、动手能力和总结、分析、解决问题能力。尤其是要学会利用现有防病毒服务器进行日常病毒防范的分析和研究。如通过对病毒日志的分析,发现辖内病毒发作的特点,进而提出解决的办法;通过对病毒类型的分析,区分出哪些属于文件型病毒,哪些属于软盘引导扇区病毒,哪些属于内存驻留病毒;按照诺顿服务器对病毒操作及结果分析,得出保留在隔离区中不操作的有多少次,隔离的多少次,清除的多少次,删除的多少次等。
一、“订阅”服务网站的发展现状
(一)国外发展
最早的订阅服务电子商务网站是一家名为Blacksocks的欧洲网络商店,它也是最早为国内知晓的订阅网站;正如它的名字,该网站专为客户提供普通的男士黑袜子,根据客户自身需要,在缴纳一年订金后,定期向客户寄送袜子。Blacksocks的成功引领了订阅服务电子商务网站蓬勃发展。2009年至今,已有为用户提供日用品、零食、服饰、饮品等各方面的订阅服务网站。国外的订阅服务已融入大众生活。
(二)国内发展在借鉴了国外订阅服务电子商务网站的成功经验后,名为Myluxbox(我的盒颜悦色)的订阅网站于2011年7月成立,其主要针对女性化妆品市场,在缴纳每月50元的会费后,网站每月会寄送化妆品到家。该网站同普遍的订阅服务网站类似,有着积分、构建会员信息中心等特点,除此之外,它有着其独特的地方,即推出“礼盒惊喜”。和国外的订阅网站相比,国内市场几乎还是空白,仅有一家网站;在订阅内容方面,狭窄不全面;在会员数量方面,这一模式并不为国内广大消费者所知晓,会员人数较少。
二、“订阅”服务网站的优势
(一)保障产品质量,重塑消费者信任传统营销模式的泛滥和市场上产品的良莠不齐,导致了消费者对销售人员以及对产品的不信任,出现转换行为、抱怨行为、负面口碑传播行为等。而订阅服务网站通过获得会员并为其建立个人信息,取得与用户间的直接联系,随时掌握用户的变化,成功得将消费者日益增长的人文精神纳入了发展战略与产品营销,打破了同消费者的不信任关系。另一方面,订阅网站构建了消费者与消费者,消费者与企业在互联网上的互动交流平台,如可以在twitter、facebook上分享产品信息、使用效果等。网站自身则需保证产品质量以获得口碑,消费者的信任通过网络迅速传播,据调查显示70%的消费者相信网络上顾客的观点[1]。订阅服务网站成功获得了消费者对产品的信任。
(二)满足消费者需要,为其提供便利经济的高速发展,社会各方面压力的增大导致消费者闲暇时间减少,这是衍生出各类网上购物的原因之一。订阅服务网站提供的产品是使用率高,周期性强,并且成本不高的产品,它的产生使消费者无需定期到各大商场进行挑选,为其节省了时间。并且在为会员建立个人信息数据库后,由网站专业人员针对个人信息挑选产品,可以让消费者使用到适合自己的产品,这样的使用体验也降低了消费者在选择品牌繁多的产品时所承担的风险,为其提供了便利。
(三)积极调整并优化供应链,降低人力成本、投入成本网络技术和计算机技术的广泛应用缩小了经营空间,使现实具体的市场虚拟化,网络操作减少了工作人员的数量,降低了经营成本、人力成本。并且通过网络获取会员信息、构建与供应商的联系、获取产品信息使得企业与消费者和供应商等多方联系更加紧密,信息更新更为迅速[2]。在物流方面,会员通过“订阅”直接取得产品,也可以省去经销商、零售商等传统销售的中间环节,对调整供应链有着积极作用,为网站节省了投入费用。
(四)投放精准,提高转化率,有利于产品的传播当下传统营销模式泛滥,未了解消费者需要而广泛投递试用品,这样的营销没有针对性,样品的投放不准确,无法找到消费者的喜好,对产品转化率不仅没有积极影响甚至会对产品宣传产生负面效果。订阅服务网站在了解消费者的个人喜好等信息后,不仅能克服市场营销投放程度低的缺陷,并且在消费者使用满意后,能够从零售商处购买产品,提高了使用产品的转化率,对产品的宣传传播有着积极的作用。
(五)提高供应商之间、企业与供应商之间的良性竞争力对于供应商自身,都十分重视产品样本是否有被消费者使用,因为消费者的使用无疑为他们提供了一次是否会长期选择该产品的机会,如伊利莎白雅顿等品牌都竞相通过Birchbox的会员渠道努力将化妆品小样送到会员手中。这使得供应商为取得该项权利展开竞争,提高自身产品质量而取得消费者亲睐。对于订阅服务网站本身而言,在整体市场营销的背景下[3],即以消费者价值为中心,把传统营销中与供应商间的对立关系转化为了长期合作关系,避免了恶性竞争。(六)较完善的维权机制,保障消费者权益订阅服务网站除了有专业人员对产品精挑细选的保障外,若消费者对于产品不满意可以申请退货,并且消费者可以在订购一段时间后选择是否续订服务,这样完善的维权机制避免了消费者处于网络购物消费模式的弱势地位,使消费者拥有最大范围的自主选择产品和获得产品使用体验的权利,和同一时期产生的“团购”模式比较,该模式保障了消费者的权益。
三、“订阅”服务网站所需发展条件及国内现状
(一)健全的信用体系国外订阅服务网站迅速发展的重要因素之一就是国外健全的信用体系,西方在其发达经济的支持下发展个人信用消费较早,已然成为了“征信国家”。其完善的信用体系使得支付程序简单,降低了买卖双方交易风险,提高了消费者信心。中国2003年成立征信管理的内设机构,2009年公布了《征信管理条例》,我国的信用体系建设起步晚,存在的问题较多,如个人信用意识淡薄,受传统观念影响,尚未建立起覆盖全国的个人信用信息共享系统等[4]。无论从消费者自身还是国家制度的建立来说,信用体系都是不完善的。信用体系的监管,不仅能减少银行的风险,还能保护消费者合法权益。中国目前网购模式发展迅速,大多数网站仅支持网上银行支付,其操作程序繁琐,安全隐患较大,并且信息的不对称降低了买卖双方的信心,提高了交易成本。虽然有些支付平台支持信用卡支付,如独立第三方支付平台支付宝和中信银行推出网购信用卡,其推动了信用卡消费模式的发展,但受传统观念影响,认知度偏低,使用率不高。
(二)完善的物流体系发达国家的物流业已进入成熟阶段,物流服务的拓展,物流服务过程的延生,物流服务覆盖面积大,电子物流发展迅速,这些优势使订阅服务网站在寄送产品时快速、准确、方便。高效又低成本的物流使得企业和消费者得到双赢的局面。从订阅服务网站来看,需要严格的控制物流成本来提高利润。我国大多采用第三方物流,服务质量难以得到保证,部分自建物流体系的公司则需投入大量资金使得成本过高。从物流体系整体上看,与国外相比,我国物流还处于起步阶段,物流企业数量少、规模小,服务意识不高;物流覆盖面积小,在偏远地区物流无法配送到;物流技术信息化水平低,服务网络不健全,软硬件设施落后,机械化操作水平低[5];物流管理缺乏专业人才,管理不统一,阻碍了全国性综合物流体系的建立;并且,我国物流业缺乏专门的法律规定,使市场上物流企业鱼龙混杂,降低了安全性。总的来说,我国的物流体系尚不健全,从目前网购中存在的消费者投诉日益增多的现状中可以得知。
(三)丰富的人力资本经营该模式的网站需要技术型的专业人员进行管理,专业人员不仅要熟悉物流环节,有专业的网络知识,还要有处理海量信息并从中挑选出关键信息提出满足客户需求的建议等的能力。也就是说,这类型人才不仅要有专业的技能,还要有高水平的管理能力。我国电子商务起步晚,国内电子商务人才的欠缺,阻碍了电子商务的蓬勃发展。在人才教育上,近几年来,虽然全国各高校均有开设相关教育课程进行人才培养,但具有较高学历的毕业生有着丰富的理论知识却缺乏实践经验,一些职业学校的学生有着一定程度的经验却缺乏部分专业知识,使得教育培养效果不明显。而且培养的内容不仅应针对专业技能,还应培养相关的管理能力,使其成为复合型人才以满足市场需要。人力资本是竞争力的管理,我国电子商务人才的短缺将会制约订阅服务电子商务网站的发展。[6]
(四)安全的网络环境订阅服务网站要有长久的发展和吸引更多的消费者,网站应构建安全的网络环境,以保障消费者详细、全面的个人信息安全以及支付环境的安全。中国对于网络安全的意识淡薄,当前网络环境的开放性、复杂性、多变性和系统的脆弱性并未引起广泛重视。一方面,我国监管部门的监管力度不够,没有形成损害网络安全的处罚条例,一方面,网站缺乏专业的技术人员对网站进行安全管理,还有就是用户自身的安全意识不强。除此之外,先进的网络安全技术也是保证网络环境安全的必要条件之一,这依赖于国家相关部门的重视和开发资金的投入。中国网购的迅速发展可以看出我国的网络环境安全有着基本的保障,但要保证订阅服务网站长久、安全、有秩序的发展,还需要加强对网络环境的监管。
(五)庞大的网络覆盖面和网购群体较大的网络覆盖率保障了订阅服务网站有广泛的潜在消费者,这是订阅服务网站发展的基础。据中国互联网络信息中心2011年11月份测算,中国网民数已达5.05亿户,其中互联网的宽带用户达到1.5亿,比上一年净增18.6%,手机网民数量达到3.4亿,全体网民中手机普及率达65.5%。波士顿咨询公司(BCG)在今年的《中国数字化新世代3.0:未来的网络领军者》报告中指出,中国互联网用户的每日上网时间比美国互联网用户多出一小时左右,同时中国的网络购物者数量达到1.93亿,高于美国的1.7亿。到2015年,中国将新增近2亿网民,互联网用户总数将达到7亿。而到那时,在网上购物的互联网用户比例有望达到47%,超过3亿人。报告还表示,2015年前后,中国或将成为世界最大网络零售市场,近10%的零售将在网上进行[7]。从这些数据可以看出,中国网络高覆盖率和网上消费人数的增长将会使订阅模式拥有庞大的市场。
四、国内发展订阅服务网站相关建议
广东省信息化促进条例全文第一章 总 则
第一条 为了加快信息化发展,规范信息化服务与管理,根据有关法律和行政法规,结合本省实际,制定本条例。
第二条 本条例适用于本省行政区域内的信息化规划与建设、信息资源开发利用、信息技术推广应用、信息产业发展、信息安全保障和监管以及相关服务与管理活动。
第三条 促进信息化发展应当遵循统筹规划、资源共享、实用高效、鼓励创新、保守秘密、保障安全的原则,充分发挥市场主体的作用。
第四条 县级以上人民政府应当加强对信息化促进工作的领导,将信息化发展纳入本行政区域国民经济和社会发展规划,根据本行政区域国民经济和社会发展需要,安排信息化发展资金,支持信息化发展,引导和支持社会资金投资信息化建设。
县级以上人民政府应当加强信息化培训,提高城乡居民的信息化应用能力。
乡、镇人民政府和街道办事处应当推进本辖区的信息化应用。
第五条 县级以上人民政府信息化主管部门负责本行政区域信息化发展的统筹规划、协调指导和监督管理工作。
发展改革、财政、住房城乡建设、质量技术监督、公安、广电等有关部门和通信管理部门按照各自职责,做好信息化发展的相关工作。
第六条 省质量技术监督主管部门应当会同省信息化主管部门和其他有关部门,制定和完善本省信息化相关标准并监督实施。
信息化工程建设、信息资源开发利用、信息技术推广应用、信息资源共享交换、信息安全保障等应当执行国家、行业或地方信息化标准。
第七条 省人民政府应当统筹整合全省信息化资源,完善经济欠发达地区的信息化基础设施和服务体系,促进信息化均衡发展,推进全省信息网络融合和信息资源共享,促进生产服务、生活服务、公共服务的信息化成果平等共享。
第八条 省人民政府应当加强与其他省、市、自治区的信息化合作。
省人民政府应当推进与港、澳地区的信息化基础设施互联互通、信息服务业发展和电子商务应用以及标准化和应急保障的交流与合作。
第二章 信息化规划与建设
第九条 县级以上人民政府信息化主管部门应当会同有关部门,编制本行政区域信息化发展总体规划,报本级人民政府批准后公布实施。
县级以上人民政府有关部门编制本部门、本系统信息化发展专项规划,应当符合本行政区域信息化发展总体规划,并报本级人民政府信息化主管部门备案。
编制信息化发展总体规划和专项规划,应当组织专家论证,并向社会公开征求意见。
总体规划和专项规划的制定部门应当就规划的内容向公众提供咨询服务。规划的执行情况应当定期向社会公布,接受社会监督。
第十条 信息化发展总体规划和专项规划不得随意修改;确需修改的,应当按照本条例第九条规定的程序办理。
第十一条 县级以上人民政府及其有关部门应当将通信管道、通信线路和通信基站等信息通信基础设施建设纳入城乡建设控制性详细规划,并与环境保护、市政基础设施等相关规划相衔接,统筹考虑空间布局和建设时序。
信息通信基础设施应当执行国家标准或者行业标准,并按共建共享原则建设。
第十二条 对信息化发展总体规划或者专项规划确定建设公众通信基站的建筑物、构筑物和公用设施,建设单位、设计单位和审图机构等相关单位应当按照公众通信基站建设设计标准和规范,预留基站和室内无线分布系统所需的机房、电源、管道和天面的空间,并与主体工程同时设计、同时施工、同时验收。
县级以上规划主管部门在审批建设工程规划许可和建设工程规划验收许可时,应当对基站及相关设施预留情况进行审核。
第十三条 国家机关、公共场馆、旅游景点等所属建筑物和构筑物,以及路灯、道路指示牌等公共设施,在符合安全、环保要求且不影响建筑设施正常使用的情况下,应当开放用于支持通信管道、通信线路和通信基站等信息通信基础设施建设。
第十四条 电信网、互联网、广播电视网等公共信息基础设施建设,应当向欠发达地区和农村延伸,依法实行城乡统筹、互联互通和资源共享。
第十五条 新建建筑物内的电信网、互联网、广播电视网等信息管线和配线设施以及建设项目用地范围内的信息管道,应当纳入新建建筑物建设项目的设计文件,与建设项目同时施工与验收,所需经费应当纳入建设项目概算。
已建建筑物驻地网的新建、改建、扩建,应当尊重业主选择,对所有电信、互联网、广播电视业务经营者和其他驻地网建设方开放,实行平等接入、公平竞争。
电信、互联网、广播电视等业务经营者不得与项目建设单位、物业服务企业、业主委员会等签署排他性、垄断性协议,或者以其他方式实施排他性、垄断性行为。
第十六条 县级以上人民政府及其有关部门应当支持电信、互联网、广播电视等业务经营者参照光纤到户国家标准,以共建共享方式对既有住宅区、住宅建筑及商住楼进行通信基础设施及相关配套改造。建设单位、业主单位、物业服务企业等应当向电信、互联网、广播电视等业务经营者平等开放建筑规划用地红线内已有的通信设备间、电信间、管道和线缆等,为光纤到户改造提供便利条件,不得违规收取任何费用。
第十七条 省人民政府应当推进全省云计算、物联网、大数据等新信息技术公共服务平台建设。
第十八条 省人民政府应当统筹部署全省电子政务基础设施建设,加快建成全省统一的电子政务网络、信息资源共享交换体系、信息资源公开服务体系、基础信息资源库、政务信息资源数据中心等公共基础设施。市、县级人民政府应当按照省统一部署,统筹本级电子政务基础设施建设。
第十九条 政府投资建设的信息化项目在审批立项时,应当就项目建设方案或者建设规划向信息化主管部门征求意见,信息化主管部门应当对项目的可行性、实效性、安全性,资源整合共享等方面出具评估意见。
第二十条 信息化项目建设应当符合国家、行业、地方有关标准和规范,由依法取得相应资质的单位承担,遵守招标投标、工程监理、竣工验收等相关规定。
第二十一条 信息基础设施依法受到保护,任何单位和个人不得阻碍依法进行的信息基础设施建设,不得危害信息基础设施安全。
第三章 信息资源开发利用
第二十二条 县级以上人民政府应当建立和完善本行政区域内的人口、法人单位、自然资源和空间地理、宏观经济、信用征信等基础信息资源库,促进政务信息资源共享和信息资源社会化开发利用。
第二十三条 省人民政府应当建立和完善政务信息资源共享交换体系和标准规范体系,推进政务协同信息化,实现政务信息资源共享和政务协同。
省人民政府信息化主管部门应当会同有关单位,根据安全可控原则编制统一的政务信息资源共享目录和标准,确定政务信息资源共享的内容、方式、技术规范和责任。
第二十四条 县级以上人民政府信息化主管部门应当会同本级有关单位编制本级政务信息资源共享目录,无偿、及时通过信息资源共享交换体系共享相关信息。
第二十五条 省人民政府信息化主管部门应当会同有关单位编制政务信息资源公开目录,确定政务信息资源公开的主体、内容、方式和责任。
县级以上人民政府有关部门和公共服务机构应当编制本单位政务信息资源公开目录,并按政务信息资源公开有关规定向社会公开。
第二十六条 省人民政府应当建立全省统一的政务电子证照文件数据库,推动电子证照文件共享应用,逐步实现全流程网上办事。
第二十七条 教育、医疗卫生、供电、供水、供气、公共交通、环保等公共服务机构,应当将服务内容、服务承诺、收费标准、办事过程等信息通过网站及其他方式向社会公开,准确、便捷地提供与民众生活相关的公共信息服务。
信息化主管部门应当对公共服务机构的信息公开和服务情况进行指导和监督。
第二十八条 国家机关应当依法建立和完善信息采集机制,采集信息应当保证信息真实、完整,并在职责范围内做好信息资源的维护、更新和管理。
国家机关以外的单位和个人向公民、法人和其他组织采集信息,应当征得被采集人的同意,说明用途,并在该用途范围内使用所采集的信息。
第二十九条 各级人民政府应当引导和规范政务信息资源的增值开发利用;鼓励单位和个人进行政务信息资源的公益性开发利用。
鼓励单位和个人依法从事信息资源有偿开发利用。
第三十条 信息资源开发利用应当依法进行,不得侵犯知识产权、国家秘密、商业秘密和个人隐私。
第三十一条 掌握公众信息的单位和个人,不得泄露、篡改、毁损、出售或者非法向他人提供在业务活动中收集的公民、法人或者其他组织的信息。
公民、法人和其他组织有权要求采集、使用其信息的单位和个人更正、删除与其相关的不实信息。
第三十二条 县级以上人民政府信息化主管部门、公安、工商行政管理以及征信业监督管理等部门应当依法加强对信息资源市场的监督管理,保护信息资源拥有者、经营者和使用者的合法权益。
第四章 信息技术推广应用
第三十三条 县级以上人民政府信息化主管部门应当建立和完善信息技术推广应用体系,编制信息技术推广应用指南,明确推广应用目标和重点领域,组织实施重点推广应用项目,促进信息技术在工业化、城镇化、农业现代化和社会各领域的普及应用。
第三十四条 县级以上人民政府应当加大对信息化与工业化融合的扶持力度,重点推进生产过程、生产装备、生产产品和生产服务智能化。
第三十五条 县级以上人民政府信息化主管部门应当会同通信管理、广电、规划、住房城乡建设等部门,促进电信网、互联网、广播电视网等信息网络业务经营者发展融合型业务。
县级以上人民政府应当鼓励、支持电信网、互联网、广播电视网融合技术在应急管理、执法管理、教育科研、医疗卫生、交通运输、人力资源和社会保障等政府公共管理和在线便民服务的应用。
第三十六条 省人民政府信息化主管部门和省通信管理部门应当促进新一代互联网网络体系架构建设,推进商业化、规模化应用,推动机关和学校、科研院所、重点商业等企事业单位网站等系统新一代互联网网络技术升级改造。
县级以上人民政府及其有关部门负责推进本行政区域新一代互联网技术普及与应用,协调解决新一代互联网网络技术在重点行业、领域的应用以及试点示范项目的建设推广。
第三十七条 省人民政府应当推进全省云计算平台建设,促进云计算应用服务,开展云计算重点示范应用项目试点,引导云计算产业集聚发展,创新云计算服务模式。
地级以上市人民政府应当根据本行政区域行业应用需求,支持建设云计算公共服务平台,开展特色云计算服务。
鼓励电信运营和信息技术服务企业开展云计算核心技术研发和服务平台建设。
第三十八条 县级以上人民政府应当支持物联网技术研究和发展,对涉及物联网产业发展的重点领域、重大项目和关键技术优先予以扶持。
县级以上人民政府信息化主管部门等有关部门应当推进本行政区域物联网技术普及应用,协调物联网在重点领域应用以及示范项目的建设推广,协调解决物联网发展基础设施建设、关键共性技术标准、产业支持和安全保障等问题。
第三十九条 县级以上人民政府应当协调解决大数据基础设施建设、数据标准制定、数据共享与服务等问题,推进大数据的开放和开发利用。
鼓励单位和个人进行有利于社会和公众的大数据创新服务。
第四十条 县级以上人民政府及其有关部门应当积极推进云计算、物联网、大数据等新技术、新产品在政府部门安全可控应用,提高在线履行服务与管理职能的水平。
第四十一条 省人民政府应当统筹建立网上政务服务平台。
县级以上人民政府应当建立网上政务服务平台,逐步设立单位专属网页,有条件的可以设立个人网页,提供政府便民服务。
行政机关及法律、法规授权的具有管理公共事务职能的组织应当推进网上办事,非涉密的行政许可和公共服务事项应当按照规定实现网上办理。
第四十二条 单位和个人使用网上政务服务平台申请办理业务,应当提供真实、完整、有效的资料。
第四十三条 县级以上人民政府应当推动电子支付、安全认证、信用服务、现代物流等电子商务服务体系建设,促进电子商务发展和应用。
第四十四条 县级以上人民政府应当引导社会力量建立中小微企业公共信息技术服务平台,为中小微企业提供管理、设计研发、技术创新等服务。
第四十五条 县级以上人民政府应当推动信息服务的普及应用,加大信息无障碍设施建设和技术、产品开发的扶持力度,促进残疾人、老年人等社会成员平等参与信息社会生活。
第四十六条 县级以上人民政府应当积极推动在政府机关、医院、学校、公园、图书馆、博物馆、广场、政务中心等公共场所免费提供无线接入网络服务。
鼓励机场、车站、码头、商场、酒店、餐厅等公共服务场所经营者为消费者提供无线接入网络服务。
第四十七条 县级以上人民政府应当推进无线、远程、居民自助互助等便民服务信息基础设施建设,构建统一的社区服务和管理综合信息平台。
第四十八条 县级以上人民政府及其有关部门应当加强农业农村信息基础设施建设,建立和完善农业农村信息服务体系,开发、利用和整合农业农村信息资源,开展面向农村的信息化知识和技能培训,推动信息技术在农村生产服务、生活服务、公共服务等方面的应用。
第四十九条 政府有关部门和公共服务机构可以通过购买服务的方式,促进信息技术在生产服务、生活服务、公共服务等方面的应用。
第五章 信息产业发展
第五十条 县级以上人民政府应当结合本地实际,确定信息产业发展重点领域,支持信息产业基地和园区建设,引导和促进信息产业集聚发展。
县级以上人民政府应当加大对信息产业关键技术和具有自主知识产权信息技术的研发扶持力度,鼓励企事业单位加大信息技术研发投入,增强自主创新能力和核心竞争力。
第五十一条 县级以上人民政府应当建立和完善信息产业投融资机制,鼓励和引导公民、法人和其他组织投资信息产业。
第五十二条 县级以上人民政府应当培育和发展信息技术知识产权交易市场,促进信息技术转让和成果转化。
第五十三条 设计、制造电子信息产品,应当采用资源利用率高、易回收处理、环保的材料、技术和工艺。
第五十四条 县级以上人民政府应当加强信息化人才培养,做好信息化人才引进工作。
鼓励高等院校、科研机构等企事业单位以及行业协会等社会组织采取多种形式,培养技术研发、市场推广、服务咨询等实用型和创新型的信息化人才。
第五十五条 县级以上人民政府应当扶持信息化社会组织的发展,发挥信息化社会组织的服务作用。
信息化社会组织应当加强自律,制定和完善规范,依法开展市场调查、信息交流、企业合作、人才培训、咨询评估等服务。
信息化社会组织可以承接县级以上人民政府信息化主管部门依法转移或者委托的信息化服务与管理事项,并接受指导监督。
第五十六条 电信、互联网、广播电视等信息业务经营者应当遵守诚实信用原则,为用户提供优质的产品和服务,依法、合理制定产品和服务的收费标准,不得损害用户和其他经营者的合法权益。
电信、互联网、广播电视等信息业务经营者提供的服务应当符合业务主管部门制定的服务规范,遵守服务协议,履行服务承诺。
县级以上工商行政管理部门应当依法查处信息服务市场的不正当竞争行为,维护信息服务市场秩序。
第六章 信息安全保障和监管
第五十七条 县级以上人民政府应当建立信息安全工作领导协调机制,统筹协调和指导本行政区域内的信息安全保障和监管工作。
县级以上人民政府信息安全协调保障主管部门应当会同公安、国家安全、保密、密码管理、广电、通信管理等部门,建立和完善信息安全保障协调机制,完善信息安全保障体系,协调和指导重要信息网络和信息系统容灾备份建设,加强信息安全管理和能力建设。
第五十八条 各级人民政府应当加强信息安全监管,及时建立大数据、云计算、物联网等新技术新产品在政府及其他重点领域应用的标准、规范,建立和完善风险评估和监测、检查、管理体系,及时预警信息安全隐患,保障网络、信息系统、信息资源资产的安全。
第五十九条 信息网络和信息系统的所有者或者运营者应当依据国家有关规定以及相关技术标准,建立信息安全保障工作责任制,制定本单位信息安全保护和容灾备份措施,对信息网络和信息系统实行信息安全等级保护,定期进行信息安全风险评估。
第六十条 信息网络和信息系统的建设和运营,应当遵守国家和省有关信息安全、保密的规定。
信息安全系统应当采用依法认证的信息安全产品,并与信息网络和信息系统同时设计、同时施工、同时投入使用。
第六十一条 县级以上人民政府信息化主管部门应当会同有关部门,在电子政务、电子商务、公共服务等领域推广使用电子签名,鼓励电子签名认证数字证书在互联网上的应用;推动与港澳台电子签名认证证书的互认互通。
信息化主管部门、密码管理部门应当按照国家有关规定,对电子认证服务机构和电子认证服务实施监督管理。
第六十二条 县级以上人民政府信息化主管部门应当会同有关部门,建立和完善信息安全应急处理协调机制和信息安全通报制度。
信息网络和信息系统的运行、使用单位,应当制定本单位信息安全应急预案,定期开展应急演练,增强信息网络和信息系统的抗毁能力、灾后恢复能力。
发生重大信息网络与信息系统安全事故后,相关单位应当迅速采取应急措施降低损害程度,防止事故扩大,保存相关记录,并按照规定向有关部门报告。
第六十三条 任何组织、单位和个人不得利用信息基础设施和信息网络实施危害国家安全、公共安全的行为,以及实施诽谤、诈骗、敲诈勒索、非法经营等违法行为。
第六十四条 信息网络和信息系统的运行、使用单位应当建立和完善信息发送、传播管理制度,发现违法、有害信息,应当立即停止传输,采取技术措施予以消除并报告有关部门。
信息化主管部门、公安、国家安全、工商行政管理、通信管理等部门,应当建立和完善对违法、有害信息的监管机制,接受社会公众对违法、有害信息的投诉举报并及时查处。
第七章 法律责任
第六十五条 对破坏信息网络和信息系统安全,通过信息网络泄露、窃取国家秘密、商业秘密和个人隐私以及侵犯知识产权的,由有关部门依法处理。
第六十六条 违反本条例第十三条规定,国家机关、公共场馆、旅游景点等所属建筑物和构筑物,以及路灯、道路指示牌等公共设施拒不开放用于支持通信管道、通信线路和通信基站等信息通信基础设施建设的,由本级人民政府或者相关主管部门责令改正;拒不改正的,对直接负责的主管人员和其他直接责任人员依法给予处分。
第六十七条 违反本条例第十五条规定,电信、互联网、广播电视等业务经营者与项目建设单位、物业服务企业、业主委员会等签署排他性、垄断性协议,或者以其他方式实施排他性、垄断性行为的,由工商行政管理部门责令停止违法行为,没收违法所得,并处一万元以上五万元以下罚款。
第六十八条 违反本条例第十六条规定,建设单位、业主单位、物业服务企业等拒不配合光纤改造的,由住房城乡建设部门责令改正,返还违规收取的费用,并处一万元以上五万元以下罚款。
第六十九条 违反本条例第二十一条规定,阻碍信息基础设施建设,危害信息基础设施安全的,由有关部门依法处理。
第七十条 违反本条例第二十七条规定,教育、医疗卫生、供电、供水、供气、公共交通、环保等公共服务机构,拒绝将服务内容、服务承诺、收费标准、办事过程等信息通过网站及其他方式及时向社会公开的,由县级以上信息化主管部门责令改正;拒不改正的,处五千元以上三万元以下罚款。
第七十一条 违反本条例第三十一条规定,掌握公众信息的单位和个人,泄露、篡改、毁损、出售或者非法向他人提供在业务活动中收集的公民、法人或者其他组织的信息的,由县级以上信息化主管部门责令改正,并处一万元以上五万元以下罚款,没收违法所得;构成犯罪的,依法追究刑事责任。
第七十二条 违反本条例第六十三条规定,利用信息基础设施和信息网络实施危害国家安全、公共安全,以及诽谤、诈骗、敲诈勒索、非法经营等违法行为的,由有关部门依法处理;构成犯罪的,依法追究刑事责任。
第七十三条 违反本条例第六十四条第一款规定,信息网络和信息系统的运行、使用单位没有建立和完善信息发送、传播管理制度,发现违法、有害信息未立即停止传输,采取技术措施予以消除的,由通信管理部门或者公安部门责令改正;拒不改正的,依法予以处罚;构成犯罪的,依法追究刑事责任。
第七十四条 县级以上人民政府及其有关部门不依照本条例规定履行职责的,由上一级人民政府或者主管部门责令改正;拒不改正的,给予通报批评。
县级以上人民政府及其有关部门工作人员在信息化工作中不依照本条例规定履行职责、玩忽职守,或者滥用职权、徇私舞弊的,依法给予处分;构成犯罪的,依法追究刑事责任。
第七十五条 附挂或者设置信息基础设施造成他人人身或者财产损害的,由附挂或者设置设备的信息基础设施经营者依法承担赔偿责任。
第八章 附 则
第七十六条 本条例自20xx年9月1日起施行。
信息化促进的作用信息产业的支柱作用
信息产业是国民经济的支柱产业。其支柱作用体现在两个方面:⑴信息产业是国民经济新的增长点。信息产业以3倍于国民经济的速度发展,增加值在国内生产总值(GDP)中的比重不断攀升,对国民经济的直接贡献率不断提高,间接贡献率稳步提高。⑵信息产业将发展成为最大的产业。到20xx年年底,中国电子信息产品出口占全国外贸出口比重将超过30%,其在国家外贸出口中的支柱地位将得到进一步巩固和提高。信息产业在国民经济各产业中位居前列,将发展成为最大的产业。
信息产业的基础作用
信息产业是关系国家经济命脉和国家安全的基础性和战略性产业。这一作用体现在两个方面:⑴通信网络是国民经济的基础设施,网络与信息安全是国家安全的重要内容;强大的电子信息产品制造业和软件业是确保网络与信息安全的根本保障。⑵信息技术和装备是国防现代化建设的重要保障;信息产业已经成为各国争夺科技、经济、军事主导权和制高点的战略性产业。
信息产业的先导作用
信息产业是国家经济的先导产业。这一作用体现在4个方面:⑴信息产业的发展已经成为世界各国经济发展的主要动力和社会再生产的基础。⑵信息产业作为高新技术产业群的主要组成部分,是带动其他高新技术产业腾飞的龙头产业。⑶信息产业的不断拓展,信息技术向国民经济各领域的不断渗透,将创造出新的产业门类。⑷信息技术的广泛应用,将缩短技术创新的周期,极大提高国家的知识创新能力。
互联网以高速的发展势头逐渐取代了传统的金融业务,在互联网上进行金融操作的人群占有相当大的比重。互联网的各类支付平台为人们的生活提供了巨大的便利,人们可以在互联网上购买产品、办理贷款、缴纳水电费等等,但是,由于网络的虚拟性,给互联网给金融监管体系带来了巨大的挑战。我国目前的监管体制是与传统金融业务相匹配的,不适用于互联网金融的监管。首先,由于互联网产品与业务的行业跨度较大,在同一个网络交易平台上可以销售多种产品,虽然国家将互联网金融的各项业务交由各政府部门监管,可是业务之间经常存在交叉,使得各部门的监管难度加大。其次,互联网没有实体机构,所有的产品和业务都是数据代码,而且互联网技术的发展速度远远超过监管制度的制订速度,由于监管制度在互联网金融上存在很多模糊地带,使得网络交易存在较大的风险。最后,监管的主要目的是保护消费者权益,可是互联网是虚拟的交易平台,缺乏法律法规的约束,网上交易合同极易被篡改和伪造,导致一旦发生利益冲突,消费者的权益无法得到保证。
二、互联网金融监管的基本原则
1、服务实体经济,把握创新的度与限
所有金融业务的产生都是为了促进国家的经济发展,而互联网金融能够更好的为人们服务,保证人们的生活质量,因此互联网金融的发展趋势是不可阻挡的。互联网金融是新兴的金融模式,应给予适当的空间,使其在探索中逐渐完善,提高为人们服务的水平。但是不能放任互联网金融不管,使其失去掌控,所以应采取动态监管策略,根据对各交易平台与金融产品的影响力及风险带来的危害程度进行评估,以此作为依据,决定监管目标和监管力度。
2、既要防止监管套利,又要防控系统性风险
互联网金融与传统金融的本质相同,都是对资金进行管理和使用,只是互联网金融在技术和模式上进行了改革,将金融业务放到虚拟的网络中操作。所以互联网金融仍然属于金融体系,应该受到金融监管,而且监管标准应与传统金融一致。同时,从事互联网金融的企业应该配合监管,不能用改变经营模式的方式逃避监管。此外,国有银行应实施宏观调控,以保证金融市场的稳定性。
3、既要切实维护消费者合法权益,又要加强消费者教育
金融机构应制定保护消费者权益的规章制度,提高消费者在互联网金融中的安全感和满意度,并且严厉打击用高额回报欺骗消费者,非法吸收资金的互联网金融企业,并取消其经营资格。金融机构还应对消费者的个人资料进行保密,以减少内部风险,保证行业的稳定发展。由于互联网金融消费者的文化水平和个人素质有很大的差别,所以应展开不同层次的教育,以提高消费者的风险意识。
4、既要营造公平竞争的市场环境,又要实现全范围的数据
监测与分析互联网金融企业应该始终遵守国家的法律法规,坚持公平竞争的原则,抵制恶意竞争、互相诋毁的不良作风,而且不钻法律漏洞,做违法犯罪的行为,以营造互联网金融行业的和谐氛围。金融机构也要严格要求自身,按照国家规定进行计息与收费。同时,制定完善的风险管理体系,对风险进行动态的监测与分析,并对金融监管的条例加以补充和说明,以防给互联网企业留下可乘之机。
5、既要强化行业自律,又要处理好与政府监管的关系
自我约束的力量远远大于外界的监管,对互联网金融企业来说,互联网给他们带来了无限商机,应该把握好这个机会,不能因为眼前的利益而失去长远发展带来的收益。所以互联网金融行业的领头企业应主动承担责任,制定行业内部的规范标准,并与政府监管机构建立有效沟通,以促进行业与政府的和谐关系,与政府监管机构一起健全互联网金融行业的内部制度。
三、互联网金融监管的路径分析
1、构建有序有效的监管体系
由于互联网金融业务涉及的行业广,难以监管,所以应根据金融业务特点对其进行分类,并根据分类结果安排各政府部门的监管职责。监管部门应完善互联网金融监管方面的规章制度,加强内部控制原则,并明确各自的职责,对各项金融业务实施分工监管。当金融业务存在交叉时,各监管部门也要通力合作,实现独立监管与合作监管的完美结合,以提高监管效率。同时,各部门之间要协调好工作内容,防止监管的遗漏和重复。
2、建立健全法律法规体系,实现依法监管
法律法规具有强制性属性,是约束互联网金融企业行为的强有力的武器。可是目前我国的法律法规在互联网金融方面只是一个基础框架,内部细节还不完善。所以应健全法律法规体系,对各互联网金融机构进行严格的监管,以打击违法犯罪行为,保证互联网金融行业的规范性。监管部门应从互联网金融企业的日常工作入手,实施全面管理。同时,法律法规对金融监管和政府部门也能起到很好的协调作用。
3、强化行业自律,规范行业行为
我国的互联网金融行业门槛较低,而且没有对新加入的互联网金融企业进行过多的要求,导致企业之间为了各自的经济利益而恶意竞争,搅乱了市场,破坏了互联网行业的形象,使得行业的发展受到阻碍。所以应限制互联网行业的进入条件,提高企业人员的素质,对行业内部资金进行监控和管理,强化行业自律,使互联网行业能够保持规范、平稳的发展。
4、加强金融监测和宏观调控,完善反洗钱制度体系
互联网金融是金融模式的一次创新革命,所以监管部门不仅要发挥出监督职能,还要对各个部门进行协调,实施多层监管。监管部门对互联网金融公益性企业应给予大力支持,并降低贷款利率。同时,对互联网金融企业实施配套管理,制定信息监测报表,将企业的网络数据公开化,监督货币的流向。此外,应完善反洗钱制度体系,对网络支付平台及金融机构都进行监管,严厉打击洗钱行为,保障人民的经济利益。
5、建立并完善征信体系,提高稀缺金融资源的配置效率
我国应该加快社会征信体系建设,大力发展信用中介机构,建立健全互联网金融机构、企业和个人信用体系,打造互联网金融发展的商业信用数据平台,推动信用评估体系建设,最终达到抵御互联网金融所带来的风险,提高稀缺金融资源配置效率的目的。我国征信业管理部门应加大宣传力度,积极建立个人征信运行系统,连接和传输各大数据库,对征信公司生产所需数据资源进行采集、检索和处理,为社会各大主体提供优良的征信服务。
6、加强市场参与主体的权益保护,提升社会监督力
我国应积极优化互联网金融的生态环境,制定专门的互联网金融消费权益保护办法,强化信息安全管理,明确规定交易过程中的信息应该披露内容、消费者个人信息保护内容等,架构消费者保护体系,确保消费者信息和资金安全,并适时出台相应的投资者权益保护法律制度,建立互联网金融投资者投诉受理渠道,解决相应金融纠纷,对于损害投资者利益的行为及时监管处罚,大力保护投资者的权益,促进互联网金融规范有序发展。
四、小结
